Cómo los videojuegos se convirtieron en blanco para el crimen

Esta semana, más precisamente el 29 de agosto, se celebra en países de habla hispana el Día el Gamer y en ESET acompañamos año a año el festejo porque comprendemos la importancia de los videojuegos en la vida de gran parte de nuestros usuarios -y de la comunidad en general.

Con más del doble de audiencia que el Comic-Con de San Diego (ya que contó con 340.000 presentes el año pasado, en comparación con los 130.000 del Comic-Con), gamescom no solo destaca la importancia que los videojuegos llegaron a tener en nuestras vidas, sino también cómo evolucionaron desde fines de la década de 1970 y principios de la de 1980: de ser una mera ramificación de de la industria informática “tradicional”, a convertirse en una industria completamente desarrollada y multimillonaria por sí misma.

Hoy en día, empresas como Microsoft, Nintendo y SONY generan miles de millones de dólares con la venta de juegos y consolas. Además, existe un mercado floreciente de hardware para PC específico para juegos, desde unidades de procesamiento gráfico (GPU) especializados de empresas como AMD (ex ATI) y Nvidia hasta exóticas soluciones de refrigeración que utilizan nitrógeno líquido y material de interfaz térmica metalizado. Así, se llegó a la creación de juegos AAA, como la franquicia de Los Sims de Electronic Arts (de ya quince años y que aún se sigue fortaleciendo), y World of Warcraft de Blizzard, que redefinieron los juegos de rol masivo y multijugador (MMORPG).

El videojuego según los números

Para hacerse una idea del alcance actual de los juegos de computadoras, observemos estos exitosos juegos y consolas, y veamos a qué valores del mundo real corresponde cada uno:

tabla-juegosEl mercado de los videojuegos es enorme y vorazmente exitoso. Como en cualquier sistema que funcione a escala, siempre habrá quienes digan ser hombres de negocios o emprendedores que “buscan optimizar su rentabilidad de la inversión de cualquier forma posible” o, para decirlo de manera más concisa, delincuentes que se aprovechen del ecosistema. Pero en los mundos virtuales, ¿pueden ocurrir crímenes reales?

Crímenes en el mundo del videojuego

Cuando el videojuego pasó a estar en línea, por ejemplo, con las consolas de última generación como Xbox One, llegó el crimen.

En realidad, lo que ocurre es que existe cierta actividad indeseable en línea, como el trolling o griefing (la publicación de mensajes molestos en comunidades en línea), que han tenido lugar desde los comienzos de los juegos en línea. La naturaleza exacta de dichas actividades varía según el juego, así como sus consecuencias; pero mientras que algunos comportamientos en línea son terribles, no siempre queda claro si en realidad constituyen un delito sancionable fuera del espacio cibernético, y, de ser así, bajo qué jurisdicciones. Del mismo modo, aunque hacer trampa sea una práctica carente de ética de juego, también puede considerarse una violación de la política de uso aceptable, pero no constituye una ofensa criminal.

Tras las rejas… en línea

Las empresas de juegos de computadora vigilan sus mundos virtuales en diversos grados, ya que el comportamiento no deseado o cuestionable dentro del juego podría ocasionar que los clientes que pagan se marchen en forma masiva, con la caída de ingresos correspondiente.

Si no alcanza con las advertencias, la sentencia más común para los usuarios abusivos es quitarlos del juego durante un período de tiempo determinado. Los reincidentes, o quienes hayan hecho algo especialmente ofensivo, podrán quedar inhabilitados permanentemente para jugar y se cerrarán sus cuentas.

Ladrones reales en un mundo virtual

La venta de elementos virtuales (incluyendo las monedas virtuales) constituye una parte importante de la economía propia del juego, pero a su vez presenta algunas oportunidades únicas para los delincuentes:

  • Robo de bienes

Cuanto más juegues a un juego MMORPG, más probabilidades tendrás de obtener elementos raros, de edición limitada, únicos o que contengan un atractivo especial para tu personaje. Las empresas de juegos crean estos elementos y ajustan su grado de escasez porque contribuye a motivar a los jugadores a pagar con dinero real, ya sea para obtener los elementos en sí o para comprar la moneda usada en el juego.

El desarrollador también puede cobrar una tarifa de suscripción para jugar. Y ese uso de dinero real es lo que convierte a ciertos juegos en objetivos lucrativos para los ladrones.

En algunos juegos de combate en modo jugador contra jugador, el perdedor de la pelea, al momento de morir en el juego, deja los elementos o las monedas que tenía en su inventario. En ciertos juegos, esto llevó a la creación de pandillas o “mafias” dedicados a atacar a los nuevos jugadores, ya sea para “saquearlos cuando mueren” o simplemente los amenazan para que entreguen sus bienes o monedas.

En el mundo real, los jugadores también suelen recibir ataques de bandas de delincuentes con correos electrónicos de phishing o con software de robo de contraseñas, para obtener acceso a sus credenciales de cuenta. De allí en más, el ladrón simplemente vacía la cuenta del jugador, como si robara joyas de una caja de seguridad de alta tecnología.

Mientras que algunas empresas de juegos emplean técnicas sofisticadas de rastreo por ubicación geográfica e incluso sistemas de autenticación en dos fases idénticos a los empleados por entidades bancarias, otras no usan nada de eso, lo que deja a las cuentas de dichos juegos vulnerables no solo a ser vaciadas sino también a ser robadas.

En algunos juegos, llegar a los niveles más altos puede llevar años de trabajo minucioso y para algunos jugadores sin escrúpulos, eso representa un objetivo casi irresistible.

  • Falsificación de elementos

Normalmente, las empresas de juegos calculan con mucho cuidado la cantidad de elementos virtuales (incluyendo las monedas virtuales) hasta el punto de contratar economistas que los ayuden a asegurar la estabilidad de su economía virtual. Lamentablemente, al igual que en el mundo real, algunos mundos virtuales son objeto de falsificaciones, en las que bandas de delincuentes duplican los elementos o la moneda del juego una y otra vez mediante el aprovechamiento de vulnerabilidades o errores del juego, la conexión de red o problemas con la hora, etc.

Si es posible duplicar un elemento del juego hasta saciarse, se puede generar muchísimo dinero, en especial si lo que se copia es la moneda del juego en lugar de un elemento escaso o único. Mientras que la duplicación de elementos puede no ser suficiente para perturbar la economía interna del juego si el elemento no está a la venta, sí perturbará la partida del juego y la equidad cuando algunos personajes cuenten con un exceso de elementos.

Más allá de la razón subyacente, puede ser difícil lidiar con la falsificación, en particular si el destinatario de un elemento duplicado ni siquiera conoce su procedencia. No obstante, esto no impedirá que los administradores del juego quiten los elementos o monedas duplicados de la cuenta del jugador, o incluso lo excluyan del juego.

  • Gold farmers

Aunque la moneda de los juegos no tiene siempre el formato de una moneda de oro, “gold farmer” (“granjero de oro”) es el término genérico utilizado para describir a quienes juegan únicamente para generar la moneda del juego, que luego venden en línea a cambio de dinero del mundo real. Esto es particularmente problemático en China, donde se informó que las autoridades de las prisiones obligan a los prisioneros a realizar trabajo esclavo para generarles ingresos.

Al igual que ocurre con la falsificación de elementos, los gold farmers perturban la economía del juego, ya que generan inflación. Por otra parte, también provocan otros problemas, tanto dentro del juego como en el mundo real, con el envío de spam con avisos publicitarios para la venta del oro. Finalmente, como ocurre con la venta de bienes falsificados o robados, uno corre el riesgo de que los administradores del juego le quiten los elementos o incluso que le prohíban jugar por haber recibido propiedad falsificada o robada.

Empresas en la mira

Naturalmente, los delincuentes informáticos no atacan solo a los jugadores: las empresas de juegos también constituyen el objetivo de ataques. El ejemplo más conocido quizá sea el ataque a la plataforma de juegos SONY PlayStation Network y su servicio de música Qriocity en abril de 2011, que resultó en el robo de nombres, direcciones y detalles de tarjetas de crédito de 77 millones de cuentas de usuarios.

ESET escribió varias noticias detallando el robo de datos de SONY, desde el informe inicial del ataque en abril de 2011 hasta el acuerdo propuesto hace una semana. Por eso no voy a explicar los detalles del hecho en este artículo. Asimismo, los lectores también serán conscientes de que este tipo de problema no es exclusivo de SONY. Casi de la misma manera, hace dos años, Blizzard Entertainment fue víctima del robo de datos, aunque respondió de una manera diferente y (en mi opinión) más responsable.

La cuestión es que las empresas de juegos de computadora y sus servicios asociados están enfrentando amenazas reales de delincuentes: si les cobran a los clientes por el juego en línea, la adquisición de elementos propios del juego, o de alguna otra manera almacenan datos de facturación en sus equipos, dichos sistemas serán el objeto del crimen financiero.

Pero incluso aunque no les cobren a los clientes, sus sistemas pueden convertirse en el objetivo de ataques de delincuentes que busquen acceder a las cuentas por los motivos mencionados en las secciones anteriores. Sin duda, las empresas de juegos saben que es así y como consecuencia fueron mejorando sus prácticas de seguridad en el transcurso de los últimos dos años.

Ideas finales

En general, los juegos de computadora no presentan mayores riesgos que con cualquier otra actividad que puedas realizar en Internet. Ya hemos visto cómo usuarios ansiosos que descargaban falsos cracks del juego Crysis 3 descargaban malware en realidad, y concluimos a través de una encuesta que el 65% de los gamers latinoamericanos considera exponerse a troyanos jugando en línea.

No obstante, puedes tomar ciertas precauciones adicionales y seguir estos consejos para jugar en línea de forma segura.

También recomiendo leer nuestro artículo Comic-Con 2014: Ocho poderosos consejos de seguridad digital (en inglés). Aunque Comic-Con no es exactamente el mismo tipo de conferencia que gamescom, el hecho de asistir hoy en día a cualquier tipo de conferencia con tu equipo portátil, tablet, smartphone y diversos dispositivos digitales supone riesgos similares, por lo que también podrás encontrar información de interés es ese artículo.

Gracias a mis colegas Bruce P. Burrell, David Harley y RighardZwienenberg por su ayuda en este artículo.

Traducción y adaptación del post de Aryeh Goretsky en We Live Security.

Autor Aryeh Goretsky, ESET

Síguenos