El pasado 10 de junio se conocía la noticia del ataque a la popular compañía de videojuegos Electronic Arts (EA) en el que cibercriminales robaron 780GB de datos tras lograr acceso a sus sistemas y los ofrecieron a la venta en foros de la dark web por 28 millones de dólares. Sin embargo, según afirma el medio The Record, los atacantes no lograron extorsionar a la compañía ni consiguieron interesados en comprar la información, por lo que decidieron publicarla en foros clandestinos el pasado 26 de julio y distribuirla a través de sitios de torrent.

Según pudo confirmar el medio, la información publicada incluye el código fuente del videojuego FIFA 21, entre otros, así como herramientas de uso internos para dar soporte a los servidores de la compañía.

Luego de intentar comercializar la información, los atacantes intentaron extorsionar a EA para que pague y de esa manera evitar la filtración de la información robada. La publicación de los datos comenzó el 14 de julio con 1.3GB de información que incluía el código fuente de FIFA 21. Dos semanas después publicaron el resto, luego de que la compañía se negara a pagar.

Por su parte, Electronic Arts asegura que los atacantes no lograron acceso a datos de ninguno de sus jugadores, por lo que no creen que exista riesgo alguno para la privacidad de los jugadores. Asimismo, tras el ataque EA aseguró haber realizado las mejoras de seguridad correspondientes y no esperan que el incidente impacte de alguna manera el negocio o alguno de sus juegos.

Cómo ocurrió el ataque inicial

Tal como explicamos a comienzos de junio, los atacantes primero compraron cookies de autenticación que se comercializaban en foros clandestinos. Estas cookies permitieron a los atacantes obtener acceso a un canal de la plataforma Slack utilizado por la compañía, explicó el sitio Motherboard. Las cookies pueden almacenar información sobre las claves de acceso de un usuario y permitir a un atacante iniciar sesión suplantando la identidad del propietario legítimo de esas credenciales. De esta manera, los atacantes lograron acceso y contactaron a un empleado del área de soporte y lo engañaron al hacerle creer que el usuario legítimo era el que se comunicaba y que había perdido su teléfono, por lo que necesitaba ayuda del lado de soporte para obtener la clave de autenticación para acceder a la red corporativa de la compañía.