El fin de semana de Navidad de 2025 trajo uno de los momentos más caóticos en la historia reciente de Escape from Tarkov (EFT), cuando una vulnerabilidad crítica en la autenticación de Steam permitió a atacantes no identificados acceder a cuentas de jugadores, cambiar perfiles y más devastadoramente, resetear completamente el progreso acumulado en cuestión de segundos.
A diferencia del ataque a Ubisoft que afectó servidores masivos, este fue quirúrgico y selectivo, apuntando especialmente a streamers de alto perfil.
La Noche de Pesadilla: Diciembre 25-26, 2025
El incidente comenzó la noche del 25 de diciembre.
BAXBEAST, streamer hispanohablante, fue la primera víctima confirmada: su cuenta fue accedida, su foto de perfil cambiada y su progreso borrado para siempre, ignorando 2FA y otras medidas de seguridad.
Minutos después, DrLupo y otros creadores como OnePeg, LogicalSolutions e InsaneSQT fueron afectados mientras jugaban en vivo. Los atacantes demostraron conocer específicamente los SteamIDs de las víctimas.
La Vulnerabilidad Técnica bajo un Fallo de Diseño Monumental
El fallo se encuentra en cómo Battlestate Games implementó Steam OpenID:
- El usuario es redirigido a Steam para autenticación.
- Steam devuelve una respuesta firmada criptográficamente.
- El navegador vuelve a Tarkov con esa respuesta.
Error crítico de BSG: en lugar de verificar la firma criptográfica, se implemento exclusivamente sobre la confianza única del SteamID sobre la respuesta.
Esto permitió a los atacantes:
- Modificar manualmente
openid.identityen la URL para apuntar al SteamID de la víctima. - Completar el login sin ser el dueño de la cuenta.
- Bypassear 2FA, ya que ocurre antes de que se invoque el sistema de autenticación adicional.
Entonces Qué Podían y No Podían Hacer los Atacantes
✅ Lo que SÍ podían hacer:
- Acceder al dashboard web de la cuenta
- Cambiar foto de perfil
- Ejecutar el botón “Reset Game Profile”
- Bloquear la cuenta temporalmente
- Ver nivel, progreso y estadísticas visibles
❌ Lo que NO podían hacer:
- Cambiar contraseña
- Eliminar la cuenta completa
- Acceder a información de pago
- Transferir loot directamente a otras cuentas
Conclusión: no hubo exfiltración masiva de datos; el ataque fue un fallo de control de acceso.
Respuesta de Battlestate Games
BSG actuó desconectando acceso web y deshabilitando “Reset Account” desde el 26 de diciembre. Confirmaron que aproximadamente 15 personas fueron afectadas, pero no publicaron detalles técnicos completos.
Contexto sobre los Atacantes
No hay confirmación oficial sobre la identidad o nacionalidad. Los reportes iniciales mencionaban Argentina, pero esas referencias son anteriores al incidente y se relacionan solo con técnicas generales de hacking de cuentas.
El ataque fue coordinado y selectivo, apuntando a streamers con motivación de humillación, no a la base de jugadores masiva.
Impacto Inmediato
Para las víctimas, el impacto fue devastador e irreversible. No hay un sistema de rollback robusto, por lo que la recuperación depende de restauraciones manuales, complejas y lentas.
Comparativa con el Hackeo a Ubisoft (Diciembre 2025)
| Dimensión | Ubisoft (Rainbow Six) | Tarkov |
|---|---|---|
| Vulnerabilidad | MongoDB sin parchear (MongoBleed) | Steam OpenID design flaw |
| Tipo de riesgo | Exfiltración de datos | Integridad y disponibilidad |
| Qué se robó | Código fuente (~900 GB) | Nada |
| Afectados | Potencialmente millones | ~15-20 streamers |
| 2FA Bypass | No mencionado | Sí, completo |
| Severidad | Malconfiguración + software obsoleto | Fallo de diseño crítico |
Contexto Sistémico
EFT ya tenía un historial de problemas de seguridad y arquitectura técnica cuestionable:
- Cheating endémico (11,000+ baneados entre octubre-diciembre 2025)
- Vulnerabilidades de cliente que permiten manipulación de paquetes
- Soporte al cliente lento o abusivo
- Código difícil de parchear (“spaghetti code”)
La comunidad especula que BSG prioriza monetización sobre seguridad, aunque esto no está confirmado.
Conclusión
El incidente de diciembre 2025 en Escape from Tarkov demuestra que fallos de seguridad fundamentales siguen presentes incluso en 2025. La vulnerabilidad de OpenID permitió borrar años de progreso de jugadores sin que la 2FA funcionara, un error que:
- Es trivial de corregir con verificación criptográfica.
- Tiene un impacto catastrófico en jugadores.
- Refleja la necesidad urgente de revisar la arquitectura de seguridad de BSG.
Para los jugadores afectados, la lección es amarga: la seguridad de las cuentas dependía de la oscuridad, no de la criptografía ni de un diseño seguro.