Comunicado oficial de PokerStars sobre la incidencia de seguridad en sus clientes de poker

PokerStars nos envía un comunicado sobre el fallo de seguridad reportado en Poker Red el pasado martes.

PokerStars es consciente de las diferentes reivindicaciones públicas acerca del almacenamiento de contraseñas en la memoria RAM por parte del software de PokerStars. Esto no conlleva un riesgo de seguridad para los usuarios, y como consecuencia de ello ninguna cuenta corre peligro.

Aquí presentamos información técnica para explicar este asunto más detalladamente:

El software de PokerStars envía la contraseña encriptada del usuario al servidor de PokerStars, y para utiliza la encriptación estándar en materia de seguridad SSL. También almacenamos estos datos encriptados en los servidores de PokerStars.

Por otra parta, la aplicación de PokerStars tiene una copia de la contraseña en texto, que se utiliza para facilitar las reconexiones automáticas con el servidor. Esta contraseña la proporciona el usuario al iniciar sesión en el software de PokerStars, por tanto, solamente se almacena en la memoria DESPUÉS de que el usuario haya introducido la contraseña en el software*.

El almacenamiento que efectúa PokerStars de la contraseña del jugador en la memoria del ordenador no constituye un riesgo de seguridad, porque para que alguien pudiese aprovecharse de esta situación:

a) el usuario debe de haber introducido la contraseña en el software de PokerStars;

Y

b) el intruso debe tener accesos administrativos en el ordenador del jugador.

INCLUSO SI el intruso cumple con las dos condiciones anteriores, encriptar la contraseña no mejoraría la seguridad de forma significativa, ya que cualquier pirata informático que tenga acceso administrativo podría instalar cualquier tipo de software malicioso en el ordenador del jugador con objeto de robarle la contraseña.

Por lo general, resulta muy difícil tomar medidas para defender de forma efectiva un ordenador frente a piratas experimentados que tienen la capacidad para instalar software malicioso en el ordenador de un usuario. PokerStars brinda la oportunidad de usar un token de seguridad RSA, que proporciona a los jugadores un gran nivel de seguridad frente a un ataque, pues se proveen dos factores distintos de autentificación. El token de seguridad RSA está disponible en la Tienda VIP de PokerStars.

También se ha afirmado que el software de PokerStars almacena en su memoria la información personal de los jugadores (incluyendo el nombre y la dirección). Estos datos personales los extrae el software de PokerStars del servidor de PokerStars cuando el jugador accede por primera vez al Cajero (o a otras pantallas de gestión de la cuenta). Se muestra en la pantalla del usuario (sin necesidad de utilizar ningún tipo de herramientas técnicas), y, por tanto, almacenar esta información en la memoria tampoco presenta un riesgo de seguridad adicional.

PokerStars se toma muy en serio los asuntos sobre la seguridad y cuenta con un gran número de expertos en seguridad informática en su plantilla para diseñar el software. Además, PokerStars también emplea a diversas compañías externas de seguridad informática, entre las que se encuentran Cigital (www.cigital.com) y Gaming Laboratories International (www.gaminglabs.com) a fin de asegurarse de que el software de PokerStars es completamente seguro. Encontrarás más información acerca de la seguridad del software de PokerStars en :

http://www.pokerstars.es/poker/room/features/security/ (español)

http://www.pokerstars.es/en/poker/room/features/security/ (inglés)

*Si un usuario decide almacenar su contraseña en su ordenador, se guarda en formato encriptado en el disco duro.