Estamos malacostumbrados a ver en películas estadounidenses a clásicos hackers de turno hacer uso de técnicas de irrupción informática propias de ciencia ficción. Pero en ocasiones un hacker no necesita romper barreras de seguridad aporreando teclas aleatorias de un teclado. Solo a veces necesita hablar con la persona adecuada.
Esto es lo que ha ocurrido con una masiva filtración de datos de usuarios de Roblox, uno de los videojuegos más populares entre los niños actualmente. Un hacker explica en Motherboard que sobornó a un 'insider' -una persona con acceso privilegiado de la plataforma- para hacerse con datos sensibles.
Datos de importante calado con un importante aliciente: el control sobre los mismos. Gracias al soborno, el hacker pudo acceder al panel de atención al cliente del videojuego, y así ver direcciones de correo, eliminar la autenticación en 2 factores de usuarios, cambiar contraseñas e incluso banear a jugadores.
Un hacker tuvo el control
Según cuenta el hacker a Motherboard, simplemente tuvo que sobornar a un representante especializado en atención al cliente. El hacker ha resultado ser de guante blanco, ya que él mismo admite que no pretendía hacer un usu malicioso de estos datos, sino simplemente probar "una teoría".
Ha proporcionado fotos que prueban la filtración que también han dejado claro que el hacker se aprovechó de varios jugadores. Este intentó reclamar una recompensa por descubrir este "fallo" y al ver que esto no iba a pasar, cambió contraseñas, vendió artículos dentro del juego y desactivó verificaciones en 2 pasos de varias cuentas.
Un portavoz de Roblox se apresuró a abordar el problema y a informar a los jugadores afectados. "Inmediatamente tomamos medidas para abordar el problema y notificamos individualmente a la muy pequeña cantidad de clientes que se vieron afectados", explicó. Es cierto que el hacker provocó pocos daños, pero puso sobre la mesa el debate de si la barrera humana es suficiente para contener esta clase de filtraciones.
¿Es suficiente una barrera humana?
El portavoz de Roblox involucrado ha asegurado que se tomarán medidas "para abordar el problema y notificar individualmente a la muy pequeña cantidad de clientes afectados". No obstante, aunque no está claro el alcance de la filtración, la cuestión se basó principalmente en el dinero. Y es aquí donde radica el problema.
El hacker no tuvo rubor a la hora de "aprovecharse" del sistema, eso es cierto, pero recordemos que no tuvo que burlar ningún tipo de control de seguridad. Simplemente tuvo que pagar a una persona para que esta realizara búsqueda de datos de los usuarios y que este le redirigiera a un representante de atención al cliente. Tras un intento fallido de cobrar una recompensa por bugs (los cuales no existen), actuó de forma maliciosa.
Por lo tanto, no estamos ante un problema de software ni nada por el estilo, sino de un trabajador mal pagado. Estos trabajadores se han convertido inevitablemente en una línea de defensa ante este tipo de hackers, y unas malas condiciones laborales pueden afectar de forma directa a usuarios involucrados en un servicio si se dan las condiciones que precisamente han propiciado filtraciones como estas.
El portavoz de Roblox ha asegurado que también pedirá una investigación para este hacker a HackerOne. No obstante, la mayor preocupación de Roblox es que la táctica de sobornar a trabajadores con acceso a datos sensibles se vuelva una norma; el año pasado, un hacker comprometió a una cuenta del soporte de cliente de Microsoft, algo que la firma no admitió hasta que se descubrió que este podía leer cuentas de Hotmail y Outlook sin problemas.