Unos adolescentes han estado ganando una fortuna vendiendo cuentas robadas del popular juego Fortnite, según se ha sabido esta semana.

Los jugadores llevan informando del robo de cuentas desde hace tiempo, pero esta semana se ha sabido  la verdadera dimensión del problema. La BBC entrevistó a un adolescente eslovaco que afirma haber ganado 20.000$ en los últimos siete meses.

Los atacantes acceden a las cuentas utilizando una técnica llamada relleno de credenciales. Buscan en las listas de usuarios/contraseñas obtenidos en otros ataques y que están online. Luego intentan usar esas credenciales para conectarse al sitio de Fortnite. Cuando una de estas credenciales funciona, es porque el usuario ha reutilizado las mismas credenciales en Fortnite que en otro servicio.

Un robo de cuenta exitoso no sabe lo que va a obtener. Puede que sea una cuenta de un recién llegado que no tiene ningún valor o alguna otra con ítems electrónicos más interesantes.

Creado por Epic Games, Fortnite se ha convertido en un superventas, con ganancias estimadas en cientos de millones de euros. Dispone de varias versiones pero la más popular es Battle Royale, que enfrenta a 100 jugadores en un campo de juego que va decreciendo hasta que solo queda uno.

Los usuarios pueden ganar o comprar el dinero interno del juego llamado V-Bucks. Pueden utilizar este dinero para comprar accesorios del juego como modelos de jugadores o armas o emoticonos (como bailes para sus personajes).

Algunos de estos son muy raros y cuestan mucho dinero en la vida real, por lo que los delincuentes que se hacen con una cuenta con ítems valiosos, la pueden vender por mucho dinero, incluso cientos de euros.

Los usuarios pueden complicarle las cosas activando la autenticación de dos factores (2FA), que Fortnite tiene vía app de autenticación o correo electrónico.

Fortnite ofrece incentivos a los jugadores para que activen la 2FA como un Troll Stash Llama o un emoticono gratis, pero muchos jugadores no se han decidido a usarla.

Sin embargo, incluso los usuarios que han activado la 2FA puede que sean vulnerables si utilizan la opción de correo electrónico para la 2FA. Si también están reutilizando las mismas contraseñas entre Fortnite y el correo electrónico, los atacantes pueden robar la cuenta de correo e interceptar las comunicaciones con los sistemas de seguridad del juego.

Esta no es la primera vez que se venden cuentas de juegos online. En 2017 Riot Games, que desarrolla League of Legends, fue a juicio para detener a alguien que tenía una web en la que vendía cuentas robadas. En 2014, The Guardian informó que los ciberdelincuentes estaban robando cuentas del servicio de juegos online Steam y las vendían online.

La lección que debemos aprender es que debemos activar la 2FA siempre que podamos, no solo para Fortnite sino también para todos los servicios que la dispongan. Además debemos utilizar contraseñas complejas y nunca reutilizarlas. Si las has reutilizado debes cambiarlas lo antes posible y, si lo prefieres, puedes utilizar un gestor de contraseñas.