Millones de personas escaparon al aburrimiento del primer año de la pandemia de la COVID-19 recurriendo a los videojuegos, donde podían lanzar hechizos, matar zombis y competir como sus atletas favoritos.
Estos mundos virtuales también atrajeron a un tipo distinto de entusiasta: el que busca robar información personal y dólares reales a las personas.
En meses recientes, las firmas de ciberseguridad han advertido que los cibercrímenes en los videojuegos aumentaron de manera significativa desde el inicio de la pandemia y que las vulnerabilidades —tanto para los productores de los videojuegos como para los videojugadores— están lejos de ser superadas.
“Cuando se agregan más usuarios, dispositivos o aplicaciones a una cartera de usuarios, se crea una superficie de ataque más grande”, comentó Tony Lauro, director de tecnología y estrategia de seguridad en Akamai Technologies, una empresa que ofrece contenido y abarca grandes fracciones del internet. “En general, eso es lo que está motivando este aumento enorme con el paso del tiempo”.
Un informe de Akamai publicado en agosto señaló que los ataques a aplicaciones web, los cuales aprovechan las vulnerabilidades de los programas en línea como los juegos para dispositivos móviles, aumentaron un 167 por ciento de mayo de 2021 a abril de 2022, en comparación con el mismo periodo del año anterior. Y un informe del mes pasado de la empresa rusa de ciberseguridad Kaspersky Lab reveló un aumento del 13 por ciento de los ataques de software malicioso en juegos en la primera mitad de 2022 en comparación con la primera mitad de 2021.
La variedad de los ataques y los blancos en los videojuegos es enorme. Las empresas de esta industria pueden perder inmensos lotes de datos y sus juegos pueden ser desactivados de manera temporal. Los jugadores individuales pueden perder el avance en los juegos, dinero e información personal delicada.
Los hackeos en cadena
Jessica Geoffroy, de 29 años, de alguna forma tuvo suerte de que la culpa fuera el mayor castigo que enfrentó después de que fue víctima de un hackeo en diciembre.
Geoffroy se percató de que algo andaba mal tras recibir una ráfaga de notificaciones telefónicas de amigos que le preguntaban por qué seguía mandando mensajes por Steam después de haberse ido a dormir.
Cuando Geoffroy se dio cuenta de que no podía ingresar a su cuenta de Steam, supo que la habían hackeado.
“Tenía el corazón a mil por hora”, dijo. “Pensé: ‘Ay, Dios, ¿y si tienen mi información bancaria? ¿Y si hackean a mis amigos y obtienen su información bancaria?’… no sabía hasta dónde iba a llegar esto”.
Por fortuna, Geoffroy pudo restablecer su contraseña esa noche. Según Geoffroy, parecía que no le habían robado nada, pero se sintió “horrible” al saber que el hacker les había mandado mensajes a sus amigos con el mismo enlace peligroso al que ella había dado clic sin pensar… mismo que otro amigo le envió en un principio. La cuenta de ese amigo desapareció después de que se mandó el enlace y ella no ha podido contactar a esa persona.
“Mucha gente no cree que esto le vaya a pasar”, opinó Geoffroy. “No se dan cuenta de que puede pasar y va a pasar”.
Según el informe de Akamai, la industria de los videojuegos es la más afectada por ataques de denegación de servicio (DDoS, por su sigla en inglés), en los que un atacante utiliza una técnica automatizada para saturar a los servidores con solicitudes y así ralentiza el servicio o lo desactiva por completo. Estos ataques pueden consumir las finanzas de una empresa mientras esta se moviliza para restaurar el acceso y atender las quejas de los clientes.
Akamai advirtió que, conforme se expanda la industria de los videojuegos, habrá más cibercrímenes. “La delincuencia financiera afecta todo el tiempo a jugadores cada vez más jóvenes porque ahora están en el entorno de los videojuegos”, comentó Lauro.
No todos los ataques amañan el código fuente ni crean enlaces peligrosos. Algunos son simples estafas. Lauro mencionó que una vez pagó por un premio para su hijo en Roblox, una plataforma de videojuegos en línea, y el premio nunca llegó. Sin embargo, la transacción fue tan pequeña —de menos de un dólar– que a su hijo en realidad no le importó y Lauro supo que tampoco les importaría a las fuerzas del orden.
“Las pequeñas transacciones de 60 centavos aquí y allá… ¿quién las va a investigar?”, cuestionó.
Para la persona que estafa de esa manera, miles o más de esos pagos —microtransacciones— pueden producir una gran recompensa. Lauro y otras firmas de ciberseguridad han señalado que los defraudadores a menudo atacan pequeñas compras realizadas dentro del juego, una práctica popular en años recientes, aunque no ha habido algún estudio significativo sobre cómo se hacen estas estafas.
Kaspersky advierte que los códigos de trucos, para avanzar en el juego, también son una amenaza considerable para los videojugadores: los criminales pueden utilizar programas falsos para estafar y desactivar la computadora de uno de sus objetivos con el fin de robar información. En el análisis de Kaspersky sobre las amenazas a 28 juegos populares, la empresa encontró miles de archivos de este tipo que afectaron a más de 13.600 personas del 1.° de julio de 2021 al 30 de junio de 2022.
La propia Kaspersky ha estado bajo escrutinio, lo cual enfatiza las complejidades turbias de la ciberseguridad. En marzo, la Comisión Federal de Comunicaciones agregó la empresa, con sede en Moscú, a una lista de servicios de comunicaciones que considera amenazas para la seguridad nacional. Kaspersky declaró que la decisión tiene “fundamentos políticos”. En todo caso, la investigación de la empresa sobre los videojuegos coincide con otros informes relacionados sobre la industria.
Los estudios creadores de videojuegos también han tenido dificultades para defenderse de los intentos de robo de datos contra sus usuarios, de desactivar sus juegos o de filtrar el código de sus juegos. En estos ataques, los hackers pueden usar la información robada como un pago de rescate o buscar subastarla por inmensas cantidades de dinero.
En junio de 2021, un hacker se robó el código de juegos de Electronic Arts, el fabricante de las series FIFA y Sims. La información robada se subastó con una oferta inicial de 500.000 dólares, según un experto en ciberseguridad que habló con The New York Times.
Mayra Rosario Fuentes, una investigadora sénior de amenazas en Trend Micro, una empresa de ciberseguridad, comentó en un correo electrónico que las grandes firmas de videojuegos son excelentes objetivos porque ganan miles de millones de dólares y tienen inmensas carteras de clientes.
“Los cibercriminales saben que estas no quieren hacer enojar a los clientes porque sus juegos no funcionan, lo cual luego puede llegar a publicarse en los medios y afectar las ganancias”, escribió Fuentes.
Fuentes comentó que las empresas de videojuegos necesitaban reparar las vulnerabilidades en su código, mejorar la capacitación de sus empleados en cuanto a hackeos y cuidarse de las filtraciones en línea de las acreditaciones de los empleados.
Según Fuentes y otros expertos en ciberseguridad entrevistados para este artículo, a pesar del aumento de las amenazas, los videojugadores podrían tomar medidas para protegerse: utilizar autenticación de dos pasos, no reusar contraseñas y mantener actualizado el software.
Avatares en la pantalla de una conferencia para desarrolladores de Roblox en San Francisco, el 14 de octubre de 2021. Las plataformas populares de videojuegos como Roblox son atractivas para los cibercriminales y vulnerables a la explotación. (Jason Henry/The New York Times).