Se expusieron 140,000 cuentas de usuario adicionales en la violación de datos de abril de Nintendo

A raíz de una violación de datos, las empresas deben determinar cuántos usuarios se vieron afectados y divulgar el modus operandi de los atacantes. De esa manera, las personas tendrán una comprensión clara de la escala de la violación y el nivel de sofisticación de los piratas informáticos. Parece un trabajo sencillo, especialmente para organizaciones grandes y multinacionales, pero como pueden testificar los usuarios de Nintendo, a veces resulta ser mucho más difícil de lo que parece al principio.

La brecha de Nintendo fue mayor de lo previsto inicialmente

Todo comenzó a principios de abril cuando un gran número de usuarios se quejó de que no podían iniciar sesión en sus cuentas de Nintendo. Algunos incluso notaron cargos desconocidos al método de pago guardado en su perfil, pero a pesar de todas las quejas, inicialmente, la compañía de videojuegos no dijo nada. Como BitDefender señaló en ese momento, la cuenta de soporte japonés de Nintendo en Twitter finalmente admitió que algo podría estar mal, pero el anuncio oficial fue pospuesto por un par de semanas.

El 24 de abril, apareció una notificación de violación de datos en la página de soporte de Nintendo Japón, diciendo que ha habido un ataque contra las cuentas de Nintendo Network ID (NNID) de 160 mil usuarios. A través de las cuentas de NNID, los piratas informáticos obtuvieron acceso a los apodos, fechas de nacimiento, direcciones de correo electrónico y países de residencia de los usuarios. También usaron las cuentas NNID para iniciar sesión en los principales perfiles de Nintendo, donde también estaban disponibles los nombres de los propietarios.

Nintendo se apresuró a señalar que los ciberdelincuentes no tuvieron acceso a los detalles de la tarjeta de crédito, pero sí señalaron que se realizaron algunas compras no autorizadas dentro de la tienda oficial de Nintendo utilizando métodos de pago guardados en cuentas comprometidas.

Poco después de anunciar la violación, Nintendo separó las cuentas NNID de los principales perfiles de Nintendo, restableció las contraseñas de los usuarios afectados y comenzó a reembolsar las transacciones no autorizadas.

Lamentablemente, este no fue el final. Las quejas continuaron, y después de una investigación, Nintendo concluyó que otras 140 mil cuentas pueden haber sido afectadas, lo que lleva la cifra total a unos 300 mil.

La revelación de Nintendo es menos que perfecta

La gente no debería estar molesta por la revisión de la figura. Investigar una violación de datos no es una tarea fácil y, a veces, la imagen completa no se aclara hasta semanas o incluso meses después. Sin embargo, cuando se trata de una divulgación detallada, las cosas deberían ser lo más claras posible desde el principio, y en el caso de Nintendo, esto no es lo que estamos viendo.

Por un lado, aunque la violación ha afectado a personas de todo el mundo, la notificación no está disponible en todos los sitios web globales de Nintendo. La página de soporte de EE. UU., Por ejemplo, no lo menciona en absoluto, y aunque la sucursal del Reino Unido reconoce el incidente, faltan detalles técnicos.

La mayoría de las personas que quieren aprender más sobre la violación necesitan usar un servicio de traducción automática y tratar de descubrir qué significa Nintendo, lo que podría ser aún más difícil de lo que parece. La notificación deja en claro, por ejemplo, que aunque los hackers usaron nombres de usuario y contraseñas válidos para iniciar sesión en las cuentas de las personas, los sistemas de Nintendo no se vieron comprometidos de ninguna manera. Sin embargo, no sabemos si los delincuentes los robaron directamente de los usuarios o si los tomaron de una base de datos violada durante un incidente no relacionado y los usaron para un ataque de relleno de credenciales.

Los expertos en seguridad de Nintendo pueden haberse dado cuenta de cuántas personas se vieron afectadas por la violación de datos de abril, pero claramente tienen más detalles para descubrir y revelar. Esperemos que lo hagan de forma rápida y transparente.