Un fallo de Switch permite adivinar tu contraseña de la Nintendo eShop

Un fallo de Switch permite adivinar tu contraseña de la Nintendo eShop

Alberto García

Nintendo se está viendo afectada por varios fallos de seguridad en las últimas semanas. A finales de abril la compañía confirmó que había hackers usando credenciales de hackeos a otras plataformas en Nintendo Switch, y había miles de usuarios afectados a los que se les obligó a cambiar la contraseña. Ahora, la propia Switch estaría poniéndoselo fácil a los hackers para que adivinen tu contraseña, e incluso demostraría algo peligroso: que Nintendo está almacenando las contraseñas en texto plano.

Ha sido la investigadora de seguridad Runa Sandvik quien ha descubierto este peligroso fallo relacionado con cómo se hace el logueo en la consola. Antes de introducir nuestras credenciales para conectarnos con Nintendo Switch online, el botón de “OK” aparece con fondo gris y no podemos pulsarlo. Sin embargo, cuando introducimos la contraseña correcta, la casilla cambia de color y ya deja al usuario pulsarla.

Nintendo sabe qué texto estás introduciendo en la contraseña

Curiosamente, el botón de OK también aparece cuando el usuario introduce los primeros ocho caracteres de su contraseña. La eShop no te deja loguearte con sólo ocho caracteres, pero le dice a alguien que no seamos nosotros que está en el camino correcto a la hora de adivinar nuestra contraseña. Si por ejemplo tenemos como contraseña “murciélago”, y el hacker introduce “murciela”, lo más lógico será probar a completar la palabra, ya que sólo tiene que adivinar lo que viene después. Y en la mayoría de casos no serán más de 4 o 5 dígitos.

Aunque este es un problema que puede parecer menor, en realidad lo que demuestra es algo aún más peligroso: que Nintendo almacena las contraseñas en texto plano. Un servicio sólo puede saber el hash de nuestra contraseña (la clave criptográfica de la misma), y no el contenido de la misma. Gracias a ello, cuando introducimos la contraseña completa, sería lógico que sí se iluminase la casilla al coincidir el mismo hash. Pero al introducir una parte de la misma, el hash debería ser diferente, y por tanto no iluminarse la casilla.

Por tanto, no sabemos si Nintendo está almacenando las contraseñas en texto plano, o si está creando dos hashes diferentes para nuestra contraseña; uno para los primeros ocho caracteres, y otro para la contraseña completa.

La recomendación que hacemos a nivel de seguridad es la misma de siempre: utiliza contraseñas complejas y únicas para cada servicio. Además, si puedes, activa siempre la verificación en dos pasos para que, en el caso de que una persona consiga hacerse con tu contraseña, al menos necesite un segundo código que llegue a tu móvil y que esa persona no puede conocer.