Steam es la plataforma para comprar juegos online más importante y más conocida de Internet, cualquier gamer de pro lo sabe y la conoce. Bien, pues a través de The Next Web hemos podido descubrir que existe una importante vulnerabilidad en esta plataforma ahora mismo, que permite a agentes externos incluir contenido, malicioso o benigno, a través de un código JavaScript o HTML. Es lo que se conoce como XSS o cross-site scripting.
Usado con malas intenciones, este tipo de hackeo puede redirigir al usuario que clicke a una web de phising o de puro malware, con todas las consecuencias que ello puede acarrear en la seguridad del usuario y su equipo informático. El XSS es uno de los tipo de hackeo más difíciles de reparar, especialmente cuando ya han ocurrido. Por ello, todas las alarmas han saltado en Internet.
El encargado de encontrar este agujero de seguridad ha sido un programador que desde su cuenta de Twitter, @cra0kalo, ha desvelado su descubrimiento. Y lo ha hecho de la manera más educativa posible, a través de una demostración práctica: ha introducido un código propio y lo ha subido a Steam, probando que la página creada por Valve tenía un claro fallo en su estructura de protección. Nada mejor que predicar con el ejemplo.
Si visitamos el link que el programador publicó en Twitter, que lleva a Steam, un código externo trata de descargar un archivo exe, es decir, de Windows. Todo apunta a que este archivo es inofensivo, ya que sería extraño que hubiese introducido un virus abiertamente en Steam, poniendo en riesgo su carrera como programador y experto en seguridad. Nosotros, por si las moscas, no lo hemos descargado, nos creemos a pies juntillas su capacidad para hackear Steam.
En su último post, el programador avisa a los usuarios que vayan con pies de plomo por la página y que no carguen perfiles de nadie, ya que es ahí donde más posiblemente se encuentren los XSS, y con ello, los potenciales peligros para la seguridad.
Desde la página de Steam, sin embargo, no ha habido ningún tipo de pronunciamiento ni comunicado. Tampoco desde Valve, por lo que no se puede saber a ciencia cierta si se está trabajando en algún tipo de solución o si realmente todavía no hay medidas tomadas. Ni siquiera hay constancia de que la propia empresa sea consciente del programa, que afecta a la estructura y arquitectura de su página web.
Éste no es su primer escándalo de seguridad. Hace poco más de un año, Steam vivió un caos cuando un error dejó a la vista miles de cuentas privadas de usuario, generando que la página se tuviera que cerrar provisionalmente hasta que se detectó el fallo. En ese caso, tampoco se dieron explicaciones de ningún tipo, tan sólo se reparó la página y se siguió como si nada. Puede ser que eso sea lo que ocurra en este caso, que una mañana nos despertemos y no haya ningún problema de seguridad en el portal de videojuegos online. Esperemos que así sea, y que pase pronto.