El 21 de junio, se reportó el robo de más de dos millones de dólares en skins de CS:GO (de la saga Counter Strike) de una cuenta hackeada. El dato fue noticia por la magnitud del robo pero no es el único incidente reportado en el último tiempo. Ni tampoco el más grande.
En marzo de este año se dio el mayor robo conocido de criptomonedas llevado a cabo en un videojuego: una brecha de seguridad en Ronin Network, la cadena de blockchain que utiliza el juego de NFT Axie Infinity, resultó en la sustracción de más de unos 620 millones de dólares en criptomonedas. La compañía comenzó a devolver a los usuarios el dinero que perdieron.
Los videojuegos se han vuelto foco recurrente de ciberataques. La tendencia se comenzó a profundizar en la pandemia, con el avance de la digitalización. De acuerdo con un reporte de Akami, en 2020 se identificaron más de 246 millones de ataques web en la industria del gaming, lo cual implicó un aumento del 340% respecto del año anterior. Y desde ese entonces a la fecha la situación ha ido in crescendo. Según datos de la empresa de ciberseguridad Kaspersky, en los últimos meses se registró un aumento de ataques y hackeos en casi todos los juegos online.
Cómo fue el hackeo de CS:GO
Un usuario de Twitter (@ohnePixel) reportó que se habían robado más de dos millones de dólares en skins de CS:GO de una cuenta hackeada. Entre los objetos robados estaba el Souvenir AWP Dragon Lore, la skin más cara de CS:GO, que se cotiza en cientos de miles de dólares (es una decoración del rifle).
Las estimaciones sobre el valor del inventario robado varían entre 2 y 4 millones de dólares, según Kaspersky.
Luego del incidente, los jugadores empezaron a notar que los objetos del inventario se hacían públicos. Las skins de este juego son muy valiosas en el mundo del gaming debido a su popularidad.
De acuerdo con @ohnePixel, el correo y la contraseña de la cuenta de Steam del propietario del inventario se cambiaron a mediados de junio, pero el hackeo pasó desapercibido porque el usuario no tenía actividad de compra/venta en el último tiempo. Algunos streamers, incluso, captaron el proceso en directo en Twitch, según advierte un informe reciente de Kaspersky.
“Una semana después del cambio de dirección, gran parte del inventario había sido publicado y vendido en diferentes marketplaces en muy poco tiempo a precios irrisorios dentro de la comunidad gamer. Vale la pena aclarar que incluso vendiendo a precios baratos la colección de skins sigue teniendo un valor muy alto. Adicionalmente, varios de estos objetos continúan perdidos”, explica Santiago Rosenblatt, fundador y CEO de la plataforma de soluciones de ciberseguridad Strike, a Diario Con Vos.
Las estimaciones sobre el valor del inventario robado varían entre 2 y 4 millones de dólares, según Kaspersky.
“Todo indicaría que puede haber sido un ataque posiblemente de ingeniería social con algún tipo de malware que funcionó como vector para comprometer la cuenta del usuario y luego ejecutar acciones desde la misma. Con el daño para el usuario ya consumado, una de las medidas de mitigación fue comenzar a banear usuarios que adquirieron dichas skins”, añade Rosenblatt.
Cuáles son los tipos de ataque más habituales en los videojuegos
Dentro de los videojuegos, tal como ocurre con otras plataformas digitales (redes sociales o billeteras digitales), se suele dar el robo de cuentas a través de diversos medios.
“La ingeniería social y comunicaciones maliciosas engañan a las víctimas para que ingresen a sitios fraudulentos o descarguen archivos maliciosos y allí robarles las credenciales de acceso. Estas comunicaciones, generalmente en formato de correo electrónico o mensaje en redes sociales, suelen suplantar la identidad de la plataforma o videojuego de donde la cuenta será robada”, detalla Martina López, investigadora de seguridad informática de Eset Latinoamérica.
La otra forma de ataque se da a partir de la vulneración de contraseñas. “Estos ocurren cuando la víctima tiene una clave configurada que, o bien ha sido robada anteriormente en alguna brecha de datos o por un ataque con algún código malicioso espía. También se puede dar por una contraseña insegura por definición”, subraya López.
En el caso de las contraseñas inseguras, es decir que son poco robustas, los criminales pueden adivinarlas usando fuerza bruta, que es cuando ingresan de forma automatizada miles de contraseñas sencillas hasta dar con la correcta. O bien pueden obtenerla por medio de password spraying, que es simplemente el ingreso de contraseñas robadas conocidas, aclara la especialista.
El malware o código malicioso es también una forma de vulnerar la seguridad para ganar acceso a cuentas de gaming en todas las plataformas conocidas como Steam, Epic Games, GOG Galaxy y EA Origin, entre otras.
“Por ejemplo, se ha reportado que el troyano llamado BloodyStealer infectó a usuarios en Asia, América Latina y Europa, ganando acceso a información personal y bancaria, contraseñas, cookies y sesiones sin que los usuarios sospechen nada, cuando los mismos descargan apps o archivos dudosos que por lo general que habilitan algún tipo de truco durante las sesiones gaming”, aclara Rosenblatt.
Cómo protegerse de ciberataques en los videojuegos
A continuación, las medidas de precaución recomendadas por los expertos en ciberseguridad consultados en esta nota:
1. Utilizar contraseñas seguras, largas y únicas para todas las cuentas y guardarlas en un gestor de contraseñas, para evitar robo de cuentas mediante fuerza bruta.
2. Activar la autenticación en dos pasos (2FA) en todas las cuentas en línea, siempre que sea posible. Así, de haber entregado una contraseña, la cuenta no se encuentra totalmente desprotegida.
3. No abrir enlaces sospechosos que supuestamente proceden de la plataforma de juegos, ya que podría tratarse de ataques de phishing que buscan robar las credenciales.
4. Activar las actualizaciones automáticas de aplicaciones y sistemas operativos, para contar con los últimos parches de seguridad.
5. Evitar descargar piezas de software de tiendas de aplicaciones no oficiales, ya que no ofrecen garantías de qué se está descargando realmente.
6. Cuidarse de perfiles en redes sociales que digan ser compañías o entidades y no están verificados, tienen pocos seguidores, o sean de reciente creación. Generalmente, las compañías tienen perfiles con una gran cantidad de seguidores, sus medios de contacto en perfiles, una gran cantidad de publicaciones y están verificados.
7. Utilizar sitios web confiables, protegidos con el famoso candado (protocolo HTTPS), y tener cuidado con páginas web fraudulentas. Ante la duda, siempre es mejor consultar con la compañía dueña del sitio.
8. Emplear una solución de seguridad para añadir una capa de protección extra.
