Demandan a Epic Games por el hackeo de cuentas de Fortnite

Un grupo de personas ha interpuesto en Estados Unidos una demanda colectiva contra Epic Games acusándola de no haber hecho el mantenimiento adecuado para evitar el robo de sus cuentas de Fortnite.

La demanda ha sido presentada en nombre de más de 100 personas por Franklin D. Azar and Associates en la Corte de Distrito de Carolina del Norte. Los demandantes afirman que “los usuarios afectados de Fortnite han sufrido una pérdida comprobable que ha derivado en cargos fraudulentos a sus tarjetas de crédito o débito”. Además, también han recogido que Epic Games ha reconocido que hubo una vulnerabilidad en su sistema que permitió a usuarios no autorizados acceder a las cuentas de los jugadores para comprar divisas del juego mediante la tarjeta de crédito o débito asociada.

Al parecer los demandantes están intentando construir su posición y sus argumentos conectando dos informes separados, siendo el primero la divulgación de una vulnerabilidad que afectaba al propio Fortnite y el segundo de reutilización de contraseñas múltiples y ataques de phishing, alegando que una vulnerabilidad descubierta por CheckPoint fue explotada de forma activa.

CheckPoint y Epic Games aparentemente negaron en un primero momento que hubiese cuentas de Fortnite comprometidas, pero la compañía de software de videojuegos publicó luego un aviso advirtiendo sobre los ataques de phishing dirigidos contra sus usuarios y que una cantidad no especificada de cuentas fueron comprometidas con éxito utilizando combinaciones de usuario y contraseña filtradas por terceros.

¿Pero hubo o no hubo una vulnerabilidad en Fornite? En enero del presente año se descubrió un fallo de tipo XSS en el juego que permitía a atacantes remotos tomar el control de las cuentas de los jugadores con simplemente engañarlos para que hicieran clic sobre un enlace malicioso. Tras eso, los atacantes podían acceder a la información personal del usuario y comprar divisa virtual del juego mediante la tarjeta de crédito o débito asociada, la cual utilizaban para adquirir equipamiento de Fortnite que luego era transferido a una cuenta que les perteneciera con el fin de revenderlo. A lo mencionado hasta aquí hay que sumar los contactos, las conversaciones y otros datos privados.

La demanda recoge que CheckPoint detectó y notificó de forma privada la vulnerabilidad en noviembre de 2018, pero que Epic Games no la reconoció hasta dos meses después, reprochando también a esta última que no publicara al menos cuántas cuentas se vieron afectadas.

Si bien habrá que ver cómo se desarrolla y termina el juicio, el hecho de que se detectaran a hackers vendiendo cuentas de Fortnite robadas a través de foros ocultos no parece dejar a Epic Games en un buen punto de partida. Por otro lado, y aunque esto posiblemente no tenga conexión con el tema, la BBC entrevistó antes de terminar 2018 a unos 20 hackers adolescentes, algunos de ellos de tan solo 14 años, que estaban ganando semanalmente miles de libras vendiendo cuentas de Fortnite hackeadas.

Más allá de la aparente atracción que sienten las controversias hacia Epic Games, desde MuyComputer recomendamos encarecidamente la activación de la autenticación en dos pasos para evitar accesos no autorizados, sobre todo en cuentas online en las que se manejan datos muy sensibles.