Filed under: General
El Blizzard Authentificator ha sido la respuesta dada por Blizzard a los habituales problemas con Keyloggers, troyanos y demás parafernalia que acaban habitualmente con hackeos a cuentas y un montón de contrariedades a raíz. Es un sistema rápido, sencillo y bastante barato.
Para los que desconocen el funcionamiento del mismo, sigue una mecánica muy fácil: al introducir la password, existiendo un authentificator asociado a la cuenta en cuestión, también pide los 6 dígitos que aparecen en la pantallita del artilugio. Ese código es combinado a cada minuto con un algoritmo de 128bits y se necesitaría más de un año en descifrarlo. La única forma de saber el código que ofrece el autentificador de forma “dura”, es averiguar el algoritmo de 128bits que es, cuanto menos una labor ardua. A ello se le añade el handicap de que cada authentificator tiene un código propio y que se ha de crackear cada uno independientemente. Dicho número de 6 dígitos se hace inútil tras logear con la cuenta.
Esto da virtualmente una inmunidad ante posibles robos a la cuenta del WoW. Sin embargo, según algunos usuarios, es únicamente virtual ya que por culpa de un hipotético fallo de diseño, hay una posibilidad que, aunque remota, puede darse.
El proceso es, teóricamente, el siguiente:
Partimos de la base de que en el PC existe un troyano o Keylogger que registra las actividades a la hora de escribir contraseñas. En cualquiera de los logeos correctos, el authentificator funciona correctamente, el keylogger registra el número de 6 dígitos que se vuelve automáticamente inútil al logear y también la password correcta de la cuenta, que queda así en posesión del hacker en cuestión.
Sin embargo, el problema ocurre si en alguna ocasión el usuario introduce bien el código del authentificator pero escribe mal la contraseña. En ese caso, el keylogger guarda un número de authentificator válido y sin utilizar que, en un lapso indeterminado de tiempo se vuelve inútil. Ese lapso según blues de Blizzard es aproximadamente de un minuto pero, según pruebas de algunos usuarios, en ocasiones puede ser cercano a 5. Si en dicho lapso de tiempo el hacker accede a tu cuenta, tendrá la password y un número de authentificator que le dará un único acceso ya que aunque el usuario original loguee con otro número nuevo, el anterior sólo se inutiliza si es usado.
Ese único acceso es suficiente para entrar en gestión de cuentas, cambiar la password y desactivar el authentificator con un único clic sin más datos extra dando acceso ilimitado a la cuenta.
Todo este proceso no ha sido confirmado por Blizzard de forma directa ni tampoco he podido confirmarlo yo personalmente. No deja de ser una teoría y una posible vulnerabilidad de la que, finalmente, también es culpable el usuario infectado con el Keylogger. Sin embargo, ante la posibilidad de que pudiera ser así, he preferido postearlo para que todos aquellos que tengan uno se anden con cuidado a la hora de escribir la pass o bien usen el mismo número de authentificator hasta que se consiga entrar en la cuenta.
Si me he animado a publicarlo es porque, en un pasado, en wowinsider se hicieron eco de un hecho similar y, hace poco, he sabido del mismo problema por otro lado diferente y, esta vez, relativamente próximo a mí.
Con este post, no quiero decir que el Blizzard Authentificator sea una farsa o que no sea un producto útil para la seguridad de las cuentas del WoW, simplemente comento un hipotético problema que, para mí, hasta el día de ayer era desconocido.
No busco crear una polémica que, ciertamente, no tendría demasiado sentido ya que los usuarios que cuenten con el Blizzard Authentificator pueden tener una seguridad del 99% con éste a bastante bajo precio. Tan sólo si se da una serie de catastróficas desdichas y coincidencias cabe la posibilidad de que pueda ocurrir la catástrofe.
Si todo esto es cierto, la solución para una seguridad total con el Authentificator es simple: usar el código para entrar a la cuenta hasta que sea dado por anulado.
Tal vez sea una noticia un poco antigua pero no he visto que haya tenido demasiado eco. El día 1, en la web de la BBC se anunciaba que Blizzard recibirá una indemnización de 6 millones de euros de los creadores del bot «WoWGlider».
Hace tiempo, Blizzard denunció a MDY, creadores del bot, manteniendo que el programa violaba su copyright y que, MDY se enrriquecía gracias a las más de 100.000 copias vendidas a 25 dólares del Bot de marras. El fallo del Juez del Distrito David Campbell dicta que MMOGlider viola los términos de licencia que han de ser aceptados cuando se juega al World of Warcraft.
La indemnización podría haber mucho mayor si MDY no hubiera ganado alguno de los puntos. Por ello, tal vez Blizzard decida apelar en busca de recibir una compensación dos o tres veces mayor por los perjuicios provocados por los bots.
En todo caso, veremos como sigue la cosa porque el caso continuará en Enero del 2009. Lo que sí es algo positivo para los jugadores, que nos quitaremos de esos goldfarmers así como de los tediosos anuncios de vendedores de oro.
Ya en la beta me daba la sensación de que las cosas estaban un poco verdes como para que la expansión fuera tan inminente como parecía ser. Sí, entiendo que al ser una beta pues todo estuviera un poco manga por hombro pero, aún así, hay una ligera confirmación en que mucho del supuesto contenido de la expansión no vendrá directamente con ésta sino que será agregado con el tiempo mediante parches.
En el parche 3.1, y que está terminado ya, se introducirá Ulduar en sus dos versiones (10 y 25), en el 3.2 se añadirá una raid aún desconocida y en el 3.3 veremos Icecrown Citadel, resolviendo también la trama de la Ashbringer.
Además, hacía bastante tiempo que yo me estaba preguntando donde estaban los prometidos bailes en aquel primer video de anuncio de la WotLK, y resulta que serán añadidos en un futuro parche, aunque comentan también que tienen como idea no sólo únicamente añadir nuevos bailes sino que los jugadores puedan combinar los movimientos para crear uno propio.
También se introducirá una especie de Guild Ratings basados en sus logros en PvE y PvP y que, además, con ello también se incluirán logros generales relacionados con esos mismos ratings. Yo no sé si es una manera de controlar el avance y obligar a la gente a pasar por el arito de Naxxramas directamente ya que ahora no habrá que hacer quest que den acceso a instances o simplemente que la fecha de la expansión acucia y no da tiempo a tenerlo todo perfeccionado para el momento.
Yo personalmente, me inquieto.
Enfeeble 