Nintendo no está diciendo, así que aquí está cómo defenderse de la locura de secuestro de cuentas

Nintendo no está diciendo, así que aquí está cómo defenderse de la locura de secuestro de cuentas

Nintendo

Una ola de adquisiciones de cuentas ha afectado a los usuarios de Nintendo en las últimas semanas. continúa en gran medida sin parar en martes a pesar de la cobertura de Ars de los secuestros masivos de ayer. Nintendo no dice por qué o cuántas cuentas continúan comprometidas, a menudo en unas pocas horas por usuarios de hackers que restablecen sus contraseñas. Una razón probable para la locura de secuestro prolongada: la incapacidad de Nintendo para advertir sobre los riesgos que representan las cuentas heredadas.

Mucho antes de que Nintendo presentara el sistema de cuenta corriente para Switch y otros dispositivos recientes, la compañía usó un Nintendo Network ID, o NNID, para plataformas anteriores de Wii U y 3DS. Los NNID tuvieron que crearse utilizando los teclados de pantalla resistivos notoriamente malos disponibles en estos dispositivos, una restricción que dificultaba a los usuarios elegir contraseñas complejas. El cambio al sistema actual ha sido una gran mejora porque las cuentas se pueden configurar con un navegador web.

Error de omisión

Pero hay una falla clave: los NNID nunca murieron, y aunque muchos usuarios han olvidado que alguna vez crearon una de estas cuentas, muchos continúan vinculados a nuevas cuentas de usuario. Esto significa que el acceso no autorizado a un NNID es todo lo que se necesita para secuestrar una nueva cuenta y hacerlo con cualquier fondo de PayPal o Switch eShop vinculado a él. Recientemente, los correos electrónicos de Nintendo que advierten a los usuarios de cuentas potencialmente secuestradas no han mencionado este detalle clave.

En cambio, el correo electrónico decía que había habido un inicio de sesión reciente desde un nuevo dispositivo y que si los usuarios no lo reconocían, tendrían que cambiar su contraseña utilizando este enlace. El módulo web solo cambia las contraseñas para el nuevo sistema de acceso, no para el NNID anterior. El correo electrónico y la página de enlace no mencionan el hecho de que también se puede abusar de los NNID para dar a los usuarios no autorizados acceso no autorizado a las cuentas de Switch.

Incluso cuando un usuario se ha comprometido a cerrar el agujero de contraseña NNID, la actividad es innecesariamente dolorosa y problemática. El proceso real de cambio de contraseña requiere iniciar sesión en su cuenta con una Wii U o 3DS (instrucciones aquí) y siempre existe la posibilidad de que los usuarios ya no sean dueños de esos sistemas más antiguos. Todavía puede usar un navegador para restablecer una contraseña NNID, pero en ese caso, la nueva contraseña se limita a solo ocho caracteres elegidos por Nintendo. Peor aún, Nintendo envía al usuario la nueva contraseña de forma clara.

2FA al rescate

Para crédito de Nintendo, la compañía emitió el martes una declaración a los reporteros que aconseja a los usuarios de cuentas secuestradas para permitir la autenticación de dos factores en sus cuentas y toda la evidencia disponible sugiere que esta protección evitará el acceso no autorizado directamente. que a través de NNID. También se debe tener en cuenta que la compañía proporciona instrucciones aquí para desconectar un NNID de una cuenta corriente, pero estas instrucciones no son fáciles de encontrar. Además, Nintendo continúa ofreciendo incentivos para alentarlo a mantener las cuentas vinculadas.

La declaración de Nintendo a los periodistas que recomiendan el uso de 2FA es un paso en la dirección correcta, pero desde el principio, los correos electrónicos que notifican a los usuarios de nuevos inicios de sesión deberían haber proporcionado este consejo. Además, los correos electrónicos deberían haber recomendado restablecer la contraseña no solo para las cuentas corrientes sino también para los NNID, así como las instrucciones para desconectar los dos. Y de acuerdo con un concepto conocido como defensa en profundidad, que utiliza múltiples capas de protección para proteger los sistemas, Nintendo debería ofrecer a los usuarios una forma más fácil y segura de cambiar las contraseñas NNID. Mejor aún, el creador del juego debería facilitar el cierre completo de los NNID. Finalmente, Nintendo debe informar a sus clientes si tiene conocimiento de cualquier violación relacionada con su red.

Entonces eso es todo. Si tiene una cuenta Nintendo, lo primero que debe hacer es configurar 2FA y cambiar la contraseña de la cuenta actual. Para mayor precaución, los usuarios también deben desconectar la cuenta del NNID y cambiar, o al menos restablecer, la contraseña del NNID.

En ausencia de consejos útiles de Nintendo, los usuarios deberán tomar medidas de forma independiente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *