Enfeeble

El Blizzard Authentificator ha sido la respuesta dada por Blizzard a los habituales problemas con Keyloggers, troyanos y demás parafernalia que acaban habitualmente con hackeos a cuentas y un montón de contrariedades a raíz. Es un sistema rápido, sencillo y bastante barato.

Para los que desconocen el funcionamiento del mismo, sigue una mecánica muy fácil: al introducir la password, existiendo un authentificator asociado a la cuenta en cuestión, también pide los 6 dígitos que aparecen en la pantallita del artilugio. Ese código es combinado a cada minuto con un algoritmo de 128bits y se necesitaría más de un año en descifrarlo. La única forma de saber el código que ofrece el autentificador de forma “dura”, es averiguar el algoritmo de 128bits que es, cuanto menos una labor ardua. A ello se le añade el handicap de que cada authentificator tiene un código propio y que se ha de crackear cada uno independientemente. Dicho número de 6 dígitos se hace inútil tras logear con la cuenta.

Esto da virtualmente una inmunidad ante posibles robos a la cuenta del WoW. Sin embargo, según algunos usuarios, es únicamente virtual ya que por culpa de un hipotético fallo de diseño, hay una posibilidad que, aunque remota, puede darse.

El proceso es, teóricamente, el siguiente:

Partimos de la base de que en el PC existe un troyano o Keylogger que registra las actividades a la hora de escribir contraseñas. En cualquiera de los logeos correctos, el authentificator funciona correctamente, el keylogger registra el número de 6 dígitos que se vuelve automáticamente inútil al logear y también la password correcta de la cuenta, que queda así en posesión del hacker en cuestión.

Sin embargo, el problema ocurre si en alguna ocasión el usuario introduce bien el código del authentificator pero escribe mal la contraseña. En ese caso, el keylogger guarda un número de authentificator válido y sin utilizar que, en un lapso indeterminado de tiempo se vuelve inútil. Ese lapso según blues de Blizzard es aproximadamente de un minuto pero, según pruebas de algunos usuarios, en ocasiones puede ser cercano a 5. Si en dicho lapso de tiempo el hacker accede a tu cuenta, tendrá la password y un número de authentificator que le dará un único acceso ya que aunque el usuario original loguee con otro número nuevo, el anterior sólo se inutiliza si es usado.

Ese único acceso es suficiente para entrar en gestión de cuentas, cambiar la password y desactivar el authentificator con un único clic sin más datos extra dando acceso ilimitado a la cuenta.

Todo este proceso no ha sido confirmado por Blizzard de forma directa ni tampoco he podido confirmarlo yo personalmente. No deja de ser una teoría y una posible vulnerabilidad de la que, finalmente, también es culpable el usuario infectado con el Keylogger. Sin embargo, ante la posibilidad de que pudiera ser así, he preferido postearlo para que todos aquellos que tengan uno se anden con cuidado a la hora de escribir la pass o bien usen el mismo número de authentificator hasta que se consiga entrar en la cuenta.

Si me he animado a publicarlo es porque, en un pasado, en wowinsider se hicieron eco de un hecho similar y, hace poco, he sabido del mismo problema por otro lado diferente y, esta vez, relativamente próximo a mí.

Con este post, no quiero decir que el Blizzard Authentificator sea una farsa o que no sea un producto útil para la seguridad de las cuentas del WoW, simplemente comento un hipotético problema que, para mí, hasta el día de ayer era desconocido.

No busco crear una polémica que, ciertamente, no tendría demasiado sentido ya que los usuarios que cuenten con el Blizzard Authentificator pueden tener una seguridad del 99% con éste a bastante bajo precio. Tan sólo si se da una serie de catastróficas desdichas y coincidencias cabe la posibilidad de que pueda ocurrir la catástrofe.

Si todo esto es cierto, la solución para una seguridad total con el Authentificator es simple: usar el código para entrar a la cuenta hasta que sea dado por anulado.