nintendo
Una ola de adquisiciones de cuentas que ha golpeado a los usuarios de Nintendo en las últimas semanas continuado en gran parte sin disminución en martes a pesar de la cobertura de Ars de los secuestros masivos un día antes. Nintendo no dice por qué o cómo tantas cuentas continúan siendo comprometidas, a menudo a las pocas horas de que los usuarios pirateados restablecen las contraseñas. Una razón probable para la ola sostenida de secuestros: el hecho de que Nintendo no advirtió sobre los riesgos que plantean las cuentas heredadas.
Mucho antes de que Nintendo introdujera el sistema de cuenta actual para Switch y otros dispositivos recientes, la compañía usaba una identificación de red de Nintendo, o NNID, para las plataformas Wii U y 3DS anteriores. Los NNID tenían que crearse utilizando los teclados de pantalla resistiva notoriamente malos disponibles en estos dispositivos, una restricción que dificultaba que los usuarios eligieran contraseñas seguras. El cambio al sistema actual fue una gran mejora porque las cuentas se pueden configurar mediante un navegador web.
error de omisión
Pero hay una deficiencia clave: los NNID nunca murieron y, a pesar de que muchos usuarios olvidaron que alguna vez habían configurado una de estas cuentas, muchos continúan vinculados a las nuevas cuentas de los usuarios. Eso significa que el acceso no autorizado a un NNID es todo lo que se necesita para secuestrar una nueva cuenta y salir con los fondos de PayPal o Switch eShop vinculados a ella. Recientemente, el martes, los correos electrónicos de Nintendo advirtiendo a los usuarios de cuentas potencialmente secuestradas no mencionaron este detalle clave.
En cambio, el correo electrónico decía que había habido un inicio de sesión reciente desde un nuevo dispositivo y que si los usuarios no lo reconocían, deberían cambiar sus contraseñas usando este enlace. El formulario web cambia solo las contraseñas para el nuevo sistema de inicio de sesión, no para el NNID anterior. El correo electrónico y la página que vincula no mencionan que los NNID también pueden ser objeto de abuso para dar a los malhechores acceso no autorizado a las cuentas de Switch.
Incluso cuando un usuario se encargó de cerrar el agujero de la contraseña del NNID, la tarea es innecesariamente dolorosa y problemática. El proceso de cambiar la contraseña requiere acceder a la cuenta con una Wii U o 3DS (instrucciones aquí), y siempre existe la posibilidad de que los usuarios ya no sean dueños de esos sistemas más antiguos. Todavía es posible usar un navegador para restablecer una contraseña NNID, pero en ese caso, la nueva contraseña está limitada a solo ocho caracteres a elección de Nintendo. Peor aún, Nintendo envía por correo electrónico al usuario la nueva contraseña en texto sin formato.
2FA al rescate
Para crédito de Nintendo, la compañía emitió el martes una declaración a los reporteros aconsejando a los usuarios de cuentas secuestradas que habiliten la autenticación de dos factores en sus cuentas, y toda la evidencia disponible sugiere que esta protección evitará el acceso no autorizado tanto directamente como a través de NNID. La compañía, también se debe tener en cuenta, proporciona instrucciones aquí para desvincular un NNID de una cuenta corriente, pero esas instrucciones no son fáciles de encontrar. Además, Nintendo sigue ofreciendo incentivos para fomentar el mantenimiento de las cuentas vinculadas.
La declaración de Nintendo a los periodistas recomendando el uso de 2FA es un paso en la dirección correcta, pero desde el principio, los correos electrónicos que notifican a los usuarios sobre nuevos inicios de sesión deberían haber brindado este consejo. Los correos electrónicos también deberían haber recomendado restablecimientos de contraseña no solo para cuentas actuales sino también para NNID, así como instrucciones para desvincularlos. Y de acuerdo con un concepto conocido como defensa en profundidad, que utiliza múltiples capas de protección para proteger los sistemas, Nintendo debería brindarles a los usuarios una forma más fácil y segura de cambiar las contraseñas de NNID. Mejor aún, el creador del juego debería facilitar el cierre de los NNID por completo. Por último, Nintendo le debe a sus clientes decir si sabe de alguna brecha que involucre su red.
Así que ahí lo tienes. Si es titular de una cuenta de Nintendo, lo primero que debe hacer es configurar 2FA y cambiar la contraseña actual de la cuenta. Por precaución, los usuarios también deben desvincular la cuenta del NNID y cambiar, o al menos restablecer, la contraseña del NNID.
A falta de consejos útiles por parte de Nintendo, los usuarios tendrán que valerse por sí mismos.
