Estás trabajando tranquilamente, con el aire acondicionado de fondo y sin esperarlo recibes un correo electrónico titulado "Steam Account Password Reset". En ningún caso has solicitado el cambio de contraseña, pero el correo electrónico luce en tu bandeja de entrada. ¿Qué ha pasado? "Bah, será un mensaje de estos de spam o phishing", piensas. Lo ignoras por completo y sigues a lo tuyo.
Los casos de sumplantación de webs para obtener datos de acceso (usuario y contraseña) son más comunes de lo que nos gustaría en esto de los videojuegos. Son sites que duplican la estética de la web original para engañar al visitante y hacer que se identifique por error, almacenando sus datos con fines maliciosos. Un ejemplo reciente es el de la beta falsa de Grand Theft Auto V en PC.
A la hora y media del primero correo, un segundo mail levanta las alertas. Proviene de Steam Support como el primero, pero su contenido es diferente. Se trata de un aviso de petición de acceso a la cuenta desde un nuevo equipo. Adjunto, el código de Steam Guard que se debe poner en ese nuevo PC para usar la cuenta. Saltan las alarmas cuando en la web de Steam ves que el acceso se solicita desde Bishkek.
La reacción lógica es entrar en tu cuenta de Steam. Sorpresa: la contraseña no funciona. No es una historia inventada para aderezar este artículo, es lo que sucedió a este redactor el pasado miércoles y que durante unos instantes me tuvo sin cuenta de Steam. Por una vía que todavía desconozco, habían tratatado de acceder y accedido a mi contraseña, a pesar de ser segura, y estaban intengando abrir la aplicación.
¿Cuáles son las medidas que ofrece Steam para evitarlo? Sin lugar a dudas, en este caso la protección máxima llegó desde Steam Guard, el sistema de autorización de accesos que avisa por correo electrónico al usuario de los nuevos dispositivos que tratan de acceder. De no ser por Guard, el o la usurpadora de identidad podía haber campado a sus anchas por mi biblioteca de Steam y acceder a mis datos. Por eso es fundamental tenerlo activado y establecer un sistema de seguridad en dos pasos (que evitará cosa como verse afectado por la breve, pero absurda y muy peligrosa vulnerabilidad que ha saltado en las noticias en los últimos días).
El procedimiento para recuperar la cuenta fue sencillo: desde la web de Steam solicité un cambio de contraseña colocando muy nombre de usuario. Al correo electrónico me llegó un código personal que debí utilizar en el formulario para poder activar el reinicio de contraseña y aplicar las modificaciones. Hecho esto, pude acceder a la cuenta con normalidad, no sin antes recibir un aviso más.
Y es que nada más identificar -me sigue apareciendo aún-, Steam me muestra una ventana donde aparece el intento de acceso desde Bishkek (que por cierto está en Kirguistán). Llegado a este punto, como usuario tenía la opción de aceptar aquel acceso en caso de ser legítimo, que no lo era, o indicar lo contrario, de manera que Steam me obligaba a cambiar la contraseña por seguridad de nuevo.
La propia plataforma Steam sabía que aquel acceso no era de fiar y lo advertía. ¿Qué hubiera pasado sin acceso al correo electrónico asociado a Steam? En la actualidad, el servicio de sorporte de usuarios de la plataforma ofrece varias vías para demostrar tu vinculación a la cuenta además de las estándares como la pregunta-respuesta secreta. La más forzada también la viví hace algunos años.