Un agujero de seguridad en Steam permitía robar cuentas a través del proceso de recuperación de contraseña, sabiendo sólo la dirección de email.

Los chicos de Steam han tenido un fin de semana bastante movidito después de descubrirse un fallo de seguridad en su plataforma que permitía tomar el control de una cuenta en unos segundos y sólo conociendo la dirección de correo electrónico asociado a ella.

Tal y como leemos en The Next Web, explotar este error era tan fácil como solicitar el proceso de restablecimiento de contraseña. En él, nos piden confirmar la dirección de email de la cuenta a la que nos enviarán un código de confirmación.

El problema era que en ese paso, no hacía falta introducir ningún código, bastando con dejar el campo de texto vacío y continuar al siguiente paso para cambiar la contraseña, un fallo muy gordo. En el siguiente vídeo podéis verlo en directo:

Este grave fallo de seguridad implicaba que cualquiera podía tomar el control de una cuenta sin más datos que una dirección de email. Desde Valve ya aseguran que han estado trabajando en ello y ha sido solucionado pocas horas después de descubrirse.

Según indicaron, el fallo de seguridad en Steam afectó sólo a cuentas creadas del 21 al 25 de julio, un susto que podría haber sido mayor de descubrirse antes y provocado un ataque mayor.

Como siempre, una de las formas de protegerse es activar la verificación en dos pasos, que en Steam se denomina Steam Guard, puedes leer más sobre esta medida y cómo aplicarla a tu cuenta desde su web.