Tal y como explica la compañía experta en ciberseguridad ESET, en la madrugada del miércoles 7 de octubre un usuario anónimo del foro 4chan habría publicado un mensaje en el que se compartía un enlace Torrent para la descarga de un archivo de 125 gigabytes con información confidencial de la plataforma Twitch. Horas después, el incidente fue confirmado por la propia plataforma.
La información filtrada
Si bien se trataría solo la primera parte, el motivo de poner la información filtrada a disposición del público sería protestar contra Twitch y su comunidad, según afirma el propio usuario anónimo. Tal y como afirman los expertos de ESET, todavía es pronto para confirmar la veracidad de toda la información expuesta, aunque algunas fuentes apuntan que los datos revisados hasta este momento son reales.
Entre la gran cantidad de datos se encontraría el código fuente de Twitch desde sus inicios y se incluiría también información acerca de sus versiones para dispositivos móviles, sistemas de escritorio y consolas. También se habrían hecho públicos kits de desarrollo y servicios de Amazon Web Services utilizados por la plataforma de streaming.
Además, entre todos estos datos también se encontraría código relacionado con una plataforma de Amazon pensada para competir con Steam, pero que no ha sido lanzada todavía y que lleva como nombre Vapor. Supuestamente, dicha plataforma se estaría desarrollando con la idea de integrar muchas de las características de Twitch en una futura tienda de videojuegos de Amazon.
En opinión de los expertos de ESET, y en lo que respecta a la ciberseguridad, llama la atención que entre el material filtrado también se encuentren herramientas internas de red team. Estas herramientas son utilizadas por equipos de seguridad internos para simular ataques usando las mismas tácticas, técnicas y procedimientos aplicados por los ciberdelincuentes, aprendiendo de los posibles agujeros de seguridad y de cómo resolverlos.
Pagos a los streamers
No obstante, tal y como afirman desde ESET, de toda la información filtrada, la que ha despertado un mayor interés ha sido la relacionada con los pagos de la plataforma a sus streamers más conocidos. En estos pagos no estarían incluidos todos los ingresos obtenidos fuera de Twitch como patrocinios, donaciones externas o lo ingresado en otras plataformas como Youtube.
Así, en alguno de los documentos filtrados se pueden observar cantidades millonarias obtenidas por varios streamers desde agosto de 2019 hasta este mes de octubre de 2021. También se han observado documentos en los que figura lo que han cobrado algunos streamers durante el pasado mes de septiembre, con cifras igualmente llamativas. Se trata, según comentan desde ESET, de una información que muchos streamers no suelen revelar alegremente y puede que a más de uno le haya dado un vuelco el corazón, al ver que la información está accesible para cualquiera que haya descargado la información filtrada o buscado un poco en Internet.
Entre los streamers más populares se encuentran varios españoles como AuronPlay, que desde mediados de 2019 ha ganado más de tres millones de dólares; Ibai Llanos, que ha ganado más de 2,3 millones, y ElRubius, que se ha embolsado más de 1,75 millones. A este respecto, Ibai no ha tardado en responder: "A mí el dinero me ha venido por las cosas que he ido haciendo. En Twitch no he manipulado a nadie, yo enciendo directo y aquí la gente entra si quiere. Yo no decido nada. Nunca he buscado el dinero de forma desesperada, yo quiero merecerme el dinero que gano", ha asegurado. "Nunca os dejéis nublar por las cifras que ganamos nosotros, porque no es real".
Proteger tu cuenta
A pesar de que hasta el momento no se han encontrado pruebas que demuestren que en esta filtración se hubieran podido comprometer los datos de los usuarios, según los expertos de ESET, siempre es buena idea aprovechar un incidente de estas características para que los usuarios revisen su contraseña, la sustituyan por una más adecuada, dejen de usarla en otros sitios si lo estuvieran haciendo (algo poco recomendable) y, sobre todo, activen el doble factor de autenticación. Para ello, el usuario sólo necesita ir al apartado de configuración de su cuenta de Twitch, seleccionar la opción de editar la Autenticación en dos pasos y activar las opciones de autenticación que desee, ya sea mediante una aplicación, mensaje SMS o ambas (que sería la opción más recomendable).
De esta forma, tal y como afirman los expertos de ESET, aunque las credenciales de Twitch del usuario se hayan visto comprometidas por esta filtración, quien quiera acceder a su cuenta, no podrá hacerlo ya que necesitará también el código temporal de un solo uso generado en la aplicación correspondiente o el código que dicho usuario haya recibido a través de su teléfono móvil.
