Una nueva forma de proteger vuestra cuenta

por Mike O'Brien el 28 de julio de 2015

Como algunos de vosotros recordaréis, os dimos información sobre la seguridad de las cuentas justo después del lanzamiento de Guild Wars 2. En ese momento, os explicamos cómo los piratas informáticos estaban robando cuentas cuyas contraseñas se estaban usando en otros sitios. Os pedimos que usarais una contraseña única para vuestra cuenta de Guild Wars 2 y avisarais a vuestros amigos y compañeros de clan de que hicieran lo mismo.

Como Guild Wars 2 sigue creciendo, los riesgos también están aumentando. Cada vez hay más jugadores que se unen al juego debido a la próxima expansión Guild Wars 2: Heart of Thorns™. Por ello, debemos prestar atención para proteger a todos los jugadores de nuestra comunidad.

Hoy repasaremos los consejos de seguridad y os hablaremos sobre una nueva herramienta para ayudar a mantener vuestras cuentas seguras. También os volveremos a pedir que compartáis esta información sobre la seguridad de las cuentas.

Breve resumen sobre seguridad

Las cuentas de juego son valiosas para los piratas informáticos, ya que pueden ganar dinero real con ellas. Si roban una, le quitarán todo el oro y los objetos, los venderán y se servirán de la cuenta desvalijada para usar bots o enviar correo basura. Esto es perjudicial tanto para vosotros como para nosotros.

¿Cómo roban las cuentas? Empiezan comprando listas con millones de combinaciones de direcciones de correo electrónico y contraseñas, la mayoría conseguidas a través de brechas en la seguridad de sitios web y plataformas de juegos sobre las que probablemente hayáis leído. Estas listas también se pueden obtener a partir de software malicioso. Con la ayuda de esos datos y el acceso a muchos ordenadores y direcciones de internet en los que hacer pruebas, realizan intentos de inicio de sesión para ver si alguien ha creado una cuenta de Guild Wars 2 usando una de las direcciones y una contraseña incluídas en las listas.

Sin embargo, encontrar una dirección de correo electrónico y una contraseña que funcionen no es suficiente. Cuando el pirata informático intenta iniciar sesión en la cuenta, Guild Wars 2 reconoce que se está intentando iniciar sesión desde una ubicación nueva y envía un correo electrónico de confirmación al propietario de la cuenta. Sin embargo, si el pirata informático puede obtener la contraseña de la cuenta de Guild Wars 2 de alguien, normalmente también puede obtener la contraseña de su dirección de correo electrónico en la misma lista. Entonces, solo tendrán que iniciar sesión en la dirección de correo electrónico y hacer clic en el enlace del correo de confirmación.

Usar contraseñas únicas

Lo más sencillo que podéis hacer para mantener seguras tanto vuestra cuenta de Guild Wars 2 como todas vuestras otras cuentas, es elegir una contraseña única para cada una. Debéis escoger una contraseña para Guild Wars 2 que nunca hayáis usado antes y, una vez que empecéis a usarla para Guild Wars 2, no utilizarla en ningún otro sitio.

En los últimos años, hemos intentado asegurarnos de que los jugadores elijan contraseñas únicas en Guild Wars 2. Para ello, hemos elaborado nuestra propia lista de millones de contraseñas que los piratas informáticos conocen para evitar que se usen en cuentas nuevas. Esta medida está funcionando bien, y Guild Wars 2 tiene un índice muy bajo de ataques informáticos desde que la implementamos.

Sin embargo, no es un sistema perfecto. Uno de los problemas de obligar a todo el mundo a que elija una contraseña nueva para Guild Wars 2 es que mucha gente termina olvidando esas contraseñas. Este año, nuestro equipo de atención al cliente recibirá miles de solicitudes de ayuda para recuperar contraseñas. Sabemos que tener que contactar con atención al cliente solo para recuperar una contraseña es complicado y molesto. Además, esta tarea también se nos hace difícil a nosotros. Disponemos de un sistema automático de recuperación de cuentas, pero establecemos un control de verificación tan exhaustivo que resulta complicado para muchos jugadores que vuelven al juego después de un periodo largo. No podemos bajar el nivel del control de verificación, ya que los piratas informáticos robarían cuentas mediante la recuperación automática de cuentas, así que hace falta establecer un método más eficaz.

Presentamos los SMS

Este es un método más eficaz. Probablemente ya estéis acostumbrados a usarlo en otros sitios como Google o Yahoo!.

A partir de las próximas semanas, os vamos a pedir que asociéis un número de teléfono a vuestra cuenta. No os preocupéis, no os enviaremos mensajes basura; solo usaremos vuestro número de teléfono para mantener segura vuestra cuenta.

Una vez que asociéis vuestro número de teléfono con vuestra cuenta, si alguien intenta iniciar sesión en ella desde una ubicación nueva, os enviaremos un SMS al móvil u os llamaremos al teléfono fijo para verificar que seáis vosotros. Asimismo, si alguna vez olvidáis vuestra contraseña o perdéis al acceso a vuestra cuenta, también podréis pedirnos que os enviemos un SMS u os llamemos al teléfono fijo para proporcionaros un código que podréis usar para restablecer la contraseña. Con este sistema, podemos mejorar considerablemente tanto la seguridad de la cuenta como el proceso para recuperarla.

SMS y autenticadores

Algunos de vosotros ya habéis asegurado vuestras cuentas usando la tradicional autenticación de dos factores, al conectar una aplicación como Google Authenticator a vuestra cuenta. Si es vuestro caso, podéis continuar usando la autenticación de dos factores y no os pediremos vuestro número de teléfono.

Creemos que los SMS serán una solución mejor que los autenticadores para la mayoría de la gente. Ambas opciones son casi idénticas en relación a la seguridad: os pedimos que verifiquéis vuestra identidad cada vez que iniciáis sesión desde una nueva ubicación y vosotros respondéis introduciendo un código que habéis recibido por SMS o a través de Google Authenticator. Sin embargo, a la hora de recuperar vuestra cuenta, los SMS son un sistema mucho mejor. Cuando volvéis al juego después de un tiempo sin jugar, probablemente seguís teniendo el mismo número de teléfono, pero no es tan probable que sigáis teniendo Google Authenticator configurado para vuestra cuenta.

Además, los SMS tienen otra ventaja frente a los autenticadores. Cuando un pirata informático se hace con una cuenta no asegurada, le resulta muy fácil añadirle un autenticador, lo cual dificulta que el dueño original pueda recuperarla (puede que algún día tengamos que restringir la forma en que los autenticadores se añaden a las cuentas nuevas para prevenir este tipo de abusos). Sin embargo, para un pirata informático no es tan fácil añadir un número de teléfono a la cuenta. Se necesita un número válido de teléfono fijo o móvil, no un servicio como Google Voice, y ese número de teléfono se comprueba. Los piratas informáticos no tienen a su disposición un suministro ilimitado de teléfonos móviles o fijos.

A pesar de creer que el sistema de SMS ofrece ventajas muy claras sobre los autenticadores, ambos sistemas funcionan muy bien para mantener la seguridad de la cuenta. Elegid el que os venga mejor.

Protección contra el robo de objetos y oro

Os recomendamos fervientemente que protejáis vuestra cuenta con uno de estos dos sistemas. Sin embargo, no insistiremos a los jugadores veteranos de Guild Wars 2: vosotros habéis mantenido vuestra cuenta durante mucho tiempo y no os la han robado. La seguridad de vuestra cuenta ha resistido el paso del tiempo.

Las cuentas que tienen un alto riesgo de robo son las que han sido creadas recientemente. Muy especialmente, aquellas creadas recientemente por jugadores que no siguen las publicaciones del blog y a quienes nunca se les ha dado consejos de seguridad. Es nuestra responsabilidad protegerlos, sepan mucho sobre la seguridad de las cuentas o no.

Como jugador, lo peor de que te roben la cuenta es perder tu oro y tus objetos. Para un pirata informático, esa es la motivación principal para robar una cuenta. A pesar de que no podemos evitar algunas cosas, al menos podemos impedir que os desvalijen.

En algún momento de los próximos meses añadiremos una restricción para las cuentas creadas recientemente. Esta restricción impedirá que el oro y los objetos puedan enviarse por correo electrónico (evitando así que os puedan desvalijar) hasta que la cuenta esté protegida con un número de teléfono o un autenticador. Os haremos saber cuándo empezaremos a implementar esta medida, y solo se aplicará a las cuentas creadas tras esa fecha.

Implementación

Tras haber explicado lo importante que es la nueva opción de seguridad a través de SMS, hablemos sobre cómo la implementaremos.

Empezaremos de inmediato, pero la iremos implementando por etapas. Hoy ofreceremos la nueva opción a un pequeño número de cuentas elegidas al azar para que nos ayuden a probar el sistema. Después continuaremos añadiendo nuevas cuentas por tandas, con el objetivo de completar la implementación en dos semanas, más o menos. Cuando tengáis la opción disponible, se os pedirá que asociéis un número de teléfono con vuestra cuenta después de iniciar sesión.

Para dar las gracias a los jugadores por mantener sus cuentas seguras, daremos un minidragón místico a todo el mundo que proteja su cuenta con un número de teléfono o un autenticador. Si queréis obtener el minidragón hoy mismo, podéis apuntaros inmediatamente a la autenticación de dos factores. Si preferís usar el sistema de SMS, debería estar disponible para vuestra cuenta dentro de dos semanas, como mucho.

Gracias por haber leído hasta aquí. Sin duda, sois gente que se toma muy en serio la seguridad de su cuenta y se informa más al respecto que la mayoría de jugadores. Por favor, haced de embajadores. Comentádselo a vuestros amigos y a otros jugadores. Ayudadles a mantener sus cuentas seguras.

Mike O’Brien