Publicado 10/12/2020 12:01CET

Portaltic.-Cuatro vulnerabilidades en Steam permitían hacerse con el control de los servidores de un videojuego

Tienda de juegos para PC Steam
Tienda de juegos para PC Steam - STEAM/VALVE - Archivo

   MADRID, 10 Dic. (Portaltic/EP) -

   La biblioteca Steam Sockets, que forma parte de la plataforma en línea de videojuegos Steam, contaba con cuatro vulnerabilidades que permitían que los atacantes pudieran hacerse con el control de los servidores de un videojuego.

   Así lo ha descubierto la compañía de ciberseguridad Check Point, que ha alertado de este este fallo de seguridad hacía posible para un cibercriminal bloquear un videojuego o incluso hacerse con el control del ordenador de los jugadores de Steam de forma remota.

   Steam es la plataforma en línea del desarrollador Valve, que cuenta con más de 25 millones de usuarios y que alberga juegos como Counter Strike: Global Offensive, Dota2 y Half Life, entre otros. Esta plataforma incorpora miles de títulos y contenidos descargables, y el mes de marzo alcanzó su récord coincidiendo con la Covid: más de 20 millones de jugadores simultáneos.

   Las cuatro vulnerabilidades estaban presentes en la biblioteca conocida como Steam Sockets, que se ofrece como parte de un conjunto de herramientas para desarrolladores de juegos de terceros. Estos fallos de seguridad se encontraron tanto en los servidores de Steam como en el de sus clientes, ya que están instalados en los equipos de los jugadores.

   Los investigadores de Check Point Research indican que, en caso de no haberse parcheado, esta vulnerabilidad permitiría a un atacante bloquear un juego en remoto y, en algunos casos, incluso tomar el control del ordenador del jugador.

   Por otra parte, en los juegos de terceros que utilizan Steam Socket, la compañía pudo detectar un fallo de seguridad que permitía tomar el control por completo de los servidores de un videojuego.

   Este mismo error también se podría haber utilizado para secuestrar los equipos de todos los jugadores conectados a un mismo servidor. Este escenario, sin embargo, solo se produce en aquellos títulos que usan Steam Socket, pero no en los juegos de Valve.

   Para explotar esta vulnerabilidad, el ciberdelincuente tan solo tenía que conectarse al servidor del videojuego que deseara atacar. Tras esto, podía actuar a su voluntad y enviar cargas maliciosas al jugador o videojuego deseado.

   A partir de este punto, el atacante podría explotar esta vulnerabilidad en todos los usuarios de un título, ya que tanto los jugadores como el juego son vulnerables. De esta forma, podría incrementar su tasa de éxito y afectar a millones de usuarios en todo el mundo.

PARCHES PARA SOLUCIONAR LAS VULNERABILIDADES

   En total, los investigadores de Check Point Research encontraron cuatro vulnerabilidades, enumeradas desde CVE-2020-6016 hasta CVE-2020-6019. La compañía compartió sus hallazgos con Valve en septiembre de este año, y tres semanas después, los parches de seguridad se habían enviado a varios videojuegos.

   De esta manera, los usuarios tan solo tienen que actualizar a la última versión antes de poder jugar. Asimismo, Valve confirmó a Check Point Research que había informado de sobre sus vulnerabilidades al resto de desarrolladores de videojuegos.

   Para los usuarios que accedan a los títulos por medios distintos a Valve, deberán comprobar si han recibido algún tipo de actualización en los últimos meses y, de no ser así, contactar con los desarrolladores del videojuego para comprobar cuando estará disponible el parche de seguridad.