Los videojuegos, en los últimos años han dado un salto cualitativo muy considerable. No me refiero sólo a la calidad de los mismos, con su cada vez mayor realismo o jugabilidad, sino a la posibilidad de interaccionar con otros jugadores a través de Internet, lo que se conoce como videojuegos online.
Esto proporciona al jugador un mayor aliciente al saber que lucha contra otra persona, de igual a igual y no contra una máquina programada. Alcanzar un buen nivel de juego suele requerir muchas horas o días de esfuerzo y siempre habrá alguien a quien retar al que no podremos ganar.
Estar entre la élite de los jugadores de un videojuego online puede requerir años de juego, almacenando todo tipo de ventajas o mejoras en nuestro jugador que serán la clave para poder vencer a los rivales.
Y como cuando hablamos del mundo de Internet siempre hemos de contar con algunos “riesgos”, el mundo del videojuego online no podría ser diferente. Se ha alcanzado un número de usuarios suficientes como para despertar el interés de los ‘hackers’ y desde hace algún tiempo se han puesto “a trabajar” en el robo de cuentas y demás información privada de los jugadores.
¿Cuáles son los objetivos de los hackers?
Veamos cuales pueden ser los objetivos de un atacante, desde los más inocuos para la seguridad del jugador hasta los más perjudiciales:
Dinero virtual
En la actualidad, muchos de los juegos implementan sistemas de dinero virtual para recompensar los logros conseguidos en el juego. Este dinero se utiliza para aumentar las capacidades del personaje y se ha convertido en un preciado tesoro y una necesidad para los jugadores noveles. Un usuario que empieza a jugar a un determinado juego, necesita una gran cantidad de tiempo para conseguir que su personaje obtenga características avanzadas, por ello, resulta mucho más sencillo obtener dinero virtual de otras formas a las establecidas por el juego. De esta forma, el jugador puede obtener de una forma rápida lo que de otra forma necesitaría semanas o meses. Debido a la demanda de dinero virtual, ha aparecido el fenómeno del gold pharming que consiste en recolectar dinero virtual para luego intercambiarlo con otros jugadores a cambio de dinero real. El máximo exponente de este fenómeno aparece en el juego online World of Warcraft, donde se sabe que existen jugadores pagados a tiempo completo para recolectar oro virtual.
Se han dado casos, como por ejemplo en China, donde se explotaba a presos para que recolectaran oro virtual durante horas. En concreto, los carceleros obligaban a realizar a los presos turnos de hasta doce horas sin parar de realizar tareas repetitivas para conseguir oro.
Luego, ese oro recolectado era vendido en Internet a otros jugadores que pagaban dinero real para realizar el intercambio.
Por ejemplo, un jugador que estuviera dispuesto a comprar oro virtual, sólo debería entrar a webs especializas o a webs de subastas online, donde se vende abiertamente este intercambio de oro virtual. En la siguiente imagen se puede ver la cotización actual para el juego World of Warcraft en Europa:
Una vez realizado el pago, el vendedor realiza una “donación” de oro al comprador mediante los canales oficiales del juego, exactamente igual que si fueran conocidos y uno de ellos quisiera regalar oro al otro jugador.
Robo de cuentas
Para un atacante, resulta más sencillo robar una cuenta de un jugador online exitoso que generar una cuenta propia y mejorarla hasta el nivel deseado. Una de las técnicas más utilizadas para el robo de cuentas es el phising, donde se induce al usuario a introducir las credenciales de acceso en entornos controlados por el atacante. Por ejemplo, aquí se muestra un ejemplo de un correo electrónico donde se insta al jugador a que cambie su contraseña por motivos de seguridad:
Otra de las técnicas utilizadas por los hackers es la de distribuir programas falsos para controlar las máquinas de sus víctimas. A continuación, se muestra un ejemplo de aplicación que simula realizar acciones beneficiosas para el jugador, pero en realidad contiene virus o troyanos.
Trampas online
Otro de los objetivos que persiguen los potenciales atacantes es la modificación de los videojuegos para poder realizar trampas y obtener ventaja sobre sus adversarios. Por ejemplo, hace dos años, con la salida al mercado de Mario Kart para Wii, Nintendo vio como la plataforma de juego online se llenaba de jugadores que cometían trampas (chetos en el argot anglosajón) debido a que se podía modificar el juego para obtener ventaja frente a los adversarios. Por ello, Nintendo se vio obligada a restringir el acceso a los usuarios que utilizaban copias de juegos modificadas, mostrándoles la siguiente pantalla cuando trataban de acceder al juego:
Este problema toma una nueva dimensión cuando hablamos de videojuegos online en casinos, donde la alteración de una partida normal puede acarrear pérdidas monetarias reales tanto al casino como a los demás jugadores. Existen ejemplos de fraudes en casinos online como el de la web de poker Absolute Poker, donde un jugador podía averiguar las cartas de los demás jugadores:
Robo de datos personales
En la mayoría de los juegos online actuales, es necesaria la creación de una cuenta asociada al jugador, para que el juego pueda guardar los progresos que realiza el jugador y así, ofrecer una continuidad en la historia. Normalmente, en esta cuenta se suelen insertar datos personales del jugador, como son su nombre, edad, sexo, dirección de correo electrónico… Todos estos datos pueden ser aprovechados por un atacante para realizar múltiples ataques, desde suplantaciones de identidad hasta campañas de envío de spam con las direcciones de correo obtenidas.
Robo de nº de tarjetas de crédito
En algunas plataformas online, aparte de los datos citados en el punto anterior, es necesaria la introducción de un número de tarjeta de crédito para crear una cuenta. Este dato es uno de los más valiosos para el crimen organizado, ya que su venta en el mercado negro reporta numerosos beneficios. Aquí se puede ver el importe aproximado que ganan los delincuentes con la venta de las tarjetas de crédito y otros datos en el mercado negro:
Control de la máquina del usuario
Por último, no hay que olvidar que muchas veces, el objetivo de una infección con malware es tomar el control de la máquina en sí para usarla con fines ilícitos, como por ejemplo, crear una red de dispositivos que actúan según las indicaciones de su controlador. También se encuentran entre las acciones más comunes el envío de spam y la generación de ataques distribuidos de denegación de servicio.
Por lo que se ha podido comprobar, este tipo de ataques no está limitado a los ordenadores ya que se han visto casos de consolas Wii y Play Station 3 que formaban parte de una de estas redes infectadas. Por ejemplo, en la captura siguiente, se ve el panel de control de uno de los programas para hackers más usados, donde se puede observar que hay una PlayStation y una Nintendo Wii entre las máquinas infectadas.
Toda la información contenida en este post procede de nuestro informe sobre Seguridad en Juegos Online 2011 [PDF, 1.2MB] y en él se pueden consultar las referencias a todas las imágenes y datos mencionados.