Hackers usan juegos online como carnada para robar datos

Los juegos de computadoras se han convertido en parte de la vida cotidiana de millones de personas. Debido al crecimiento de Internet se creó un nuevo tipo de juego informático: un tipo de juego que se puede abrir en cualquier computadora, con miles, hasta decenas de miles de jugadores alrededor del mundo.

En el mundo de los MMORPGs (juegos masivos de rol multijugador en lí­nea, sigla en inglés), también conocidos como juegos en lí­nea, los jugadores pueden conocer a otros jugadores, trabar amistades, luchar en batallas, aliarse para acabar con las fuerzas del mal, encontrar su destino virtual y jugar sin parar.

Sin embargo, no todo es perfecto en estos mundos de fantasí­a, donde las fuerzas virtuales del mal pueden mezclarse con la realidad. Estos juegos entretienen a gente real, incluyendo a ladrones y estafadores que roban las propiedades virtuales de otros jugadores y las convierten en dinero real, según un informe de la empresa de seguridad informática Kaspersky. Aquí­, una sí­ntesis de la investigación realizada por Serguey Golovanov.

Los juegos
Los juegos en lí­nea permiten a los usuarios explorar fantásticos mundos virtuales y completar tareas, también llamadas misiones, para que el personaje obtenga dinero, objetos valiosos y experiencia, a diferencia de la mayorí­a de los juegos de ordenador, donde el objetivo es obtener puntos. Estas riquezas virtuales, obtenidas con el sacrificio, sudor y lágrimas del personaje, se pueden canjear por otros objetos valiosos dentro del mismo juego. Una vez que el jugador logra conseguir estos artí­culos, su personaje los puede usar para completar misiones aún más difí­ciles, conseguir más dinero o simplemente seguir siendo parte del juego, ya que en este tipo de juegos no se puede perder. El juego nunca termina.

En la mayorí­a de los juegos, el sistema de autorización del jugador (que verifica la identidad del jugador) está basado en el uso de contraseñas. El jugador que quiera entrar a un servidor debe ingresar su nombre de usuario y contraseña. Una vez que el servidor identifica al usuario, le permitirá ingresar al juego con toda libertad. Si un usuario malintencionado usa la contraseña de otro jugador, puede simplemente entrar al juego, robar objetos de su ví­ctima y venderlos.

Los ladrones ofrecen los artí­culos robados en subastas (en sitios como ebay.com) y foros, y los venden por dinero virtual o real. El ladrón puede incluso pedir una recompensa para que la ví­ctima recupere sus objetos robados. Aunque no nos guste, los ladrones pueden hacer mucho dinero en este negocio.

Claro que según las reglas del servidor, hay sanciones por comprar objetos robados. Los jugadores en los servidores de juegos originales saben que si ocurre un incidente los administradores les darán la razón. El jugador sólo debe enviar una queja y los administradores se encargarán de resolver los problemas para que el usuario pueda seguir jugando.

Sin embargo, las cosas son distintas en los servidores piratas, que son mucho más numerosos que los originales. Como los jugadores no pagan mantenimiento, la administración no tiene por qué solucionar los problemas de los usuarios. Las ví­ctimas pocas veces tienen la oportunidad de probar su inocencia en los problemas que surgen con sus propiedades virtuales. Es común que los administradores ignoren las pruebas del robo de una contraseña, argumentando que cualquier conversación se puede falsificar, y las capturas de pantalla se pueden modificar en programas como photoshop. Un jugador puede usar pruebas falsas para acusar a un usuario inocente de quien quiera deshacerse (por ejemplo, existen sanciones para aquellos usuarios que utilicen lenguaje inapropiado en el juego y se les puede llegar a prohibir el ingreso por varios dí­as). También se puede ganar dinero fingiendo un robo y pidiendo una recompensa. Los administradores de los servidores piratas no pueden, ni quieren, involucrarse en este tipo de problemas.

Como consecuencia, los usuarios malintencionados no se tienen que preocupar por las consecuencias de sus acciones en servidores piratas, ya que la mayor parte de las veces no habrá ninguna. En los servidores originales, la situación es completamente diferente. Los administradores cierran las cuentas de los jugadores involucrados en robo, y hasta pueden llegar a bloquear su dirección IP.

El robo de contraseñas de juegos en lí­nea es un problema muy preocupante. Todos y cada uno de los jugadores corren el riesgo de convertirse en ví­ctimas de los usuarios malintencionados.

Cómo se roban las contraseñas de los juegos en lí­nea
Como regla general, los usuarios maliciosos sólo están interesados en el nombre de usuario y contraseña de sus ví­ctimas, y no en la dirección del servidor que el usuario usa para jugar. El usuario malicioso sabe cual es el servidor que utiliza su ví­ctima, es más, es probable que sea un jugador de su mismo servidor. Los robos se dan tanto en servidores oficiales como piratas, aunque hay muchas más probabilidades de que los jugadores en un servidor pirata sean ví­ctimas de un robo.

Aquí­, algunos de los métodos que los criminales emplean para robar contraseñas.

Ingenierí­a social
Una de las tácticas de los criminales cibernéticos para robar contraseñas es ingresar a un juego o al foro del servidor de un juego y ofrecer un premio o ayuda a cambio de las contraseñas de otros jugadores. Los criminales cibernéticos que hacen este tipo de ofertas no son tan ingenuos como parece. Al contrario, los ingenuos son los jugadores que desean ayuda en el juego y responden a estas ofertas. El usuario malintencionado logra su objetivo (obtener las contraseñas deseadas) y deja a sus ví­ctimas con las manos vací­as.

Otro método de ingenierí­a social muy usado es el phishing, en el que el criminal cibernético enví­a correos electrónicos haciéndose pasar por el administrador del servidor, solicitando al usuario que confirme su cuenta mediante un ví­nculo en el mensaje.

Aunque el uso de estas técnicas es simple y efectivo, los jugadores más experimentados y con más artí­culos no caen en esa trampa, lo que no deja una gran ganancia para los usuarios malintencionados.

Aprovechar las vulnerabilidades del servidor de juegos
El servidor de un juego es una colección de servicios de sistema, programas y bases de datos diseñada para mantener un juego. Al igual que en cualquier otro programa, el código del servidor contiene errores de programación y bugs. Los criminales cibernéticos pueden aprovechar estas vulnerabilidades para acceder a las bases de datos del servidor y así­ obtener contraseñas o contraseñas codificadas (que pueden decodificarse con programas especiales).

Por ejemplo, existe una vulnerabilidad conocida en el chat interno de los juegos en lí­nea. Si la ventana del chat no está aislada de la base de datos del juego y no se vigila el uso de sí­mbolos y comandos especiales, un usuario malintencionado puede acceder a la base de datos directamente desde la ventana del chat de forma manual o usando programas especiales.

La cantidad de vulnerabilidades que los criminales pueden usar para acceder a la base de datos depende de cada servidor. Crear parches para las vulnerabilidades de los servidores piratas es un proceso muy lento, más lento aún que crearlos para servidores oficiales (si es que los administradores del servidor pirata consideran necesario parchear las vulnerabilidades).

Otra manera de obtener contraseñas es mediante el sistema para los usuarios que han olvidado su contraseña. Los criminales cibernéticos enví­an astutas peticiones al sistema, o bien, tratan de adivinar las respuestas a las preguntas de seguridad, y una vez que consiguen la contraseña de la ví­ctima, la cambian e ingresan al juego usando la nueva contraseña que, por supuesto, el usuario original desconoce.

Aprovechar las vulnerabilidades de un servidor puede ser una tarea compleja y la preparación y realización de uno de estos ataques requiere un gran esfuerzo intelectual. No es raro que estas operaciones terminen siendo una pérdida de tiempo, ya que muchos hackers no poseen las cualidades técnicas necesarias para llevar a cabo estos ataques.

Usando malware
Es común que los usuarios malintencionados escriban malware y lo difundan de cualquier forma posible:

• usando los tableros de mensajes para publicar enlaces a programas maliciosos, haciéndolos pasar por parches de juegos;
• enviando spam dentro del juego con enlaces presentados como "parches nuevos", pero que en realidad dirigen a programas maliciosos;
• enviando spam a correos electrónicos con programas maliciosos adjuntos al mensaje o enlaces que dirigen a programas maliciosos;
• usando programas P2P para difundir sus programas maliciosos;
• aprovechando las vulnerabilidades del navegador para descargar programas maliciosos cuando el usuario visita sitios web relacionados con el juego.

No es raro que los criminales cibernéticos publiquen enlaces que dirijan a un programa malicioso en un tablero de mensajes, tratando de hacer creer a los jugadores que es un nuevo parche, utilidad o agregado para el juego.

Existen programas maliciosos diseñados para sólo atacar a usuarios de juegos en lí­nea, así­ como programas diseñados para robar cualquier tipo de contraseña, incluyendo las de estos juegos.

El usuario malintencionado puede recibir las contraseñas robadas mediante correo electrónico, programas de mensajerí­a instantánea, colocándolas en un servidor FTP, o abriendo una red de acceso a un archivo o carpeta a la que se ingrese a través de Internet, FTP, o una carpeta de archivos compartidos.

Como usar malware es una técnica sencilla (un usuario malicioso no necesita ningún tipo de conocimiento técnico) y muy lucrativa, los usuarios malintencionados prefieren usar este método para robar contraseñas.

La evolución del malware para robar contraseñas
La selección natural es la fuerza que propulsa la evolución. Los programas antivirus son los primeros defensores de los ordenadores y son de vital importancia para la evolución del malware que roba contraseñas de los juegos en lí­nea. Mientras más fuerte es la defensa, mucho más difí­cil es evadirla y, como respuesta, el malware se vuelve cada vez más complejo.

Los primeros programas maliciosos que atacaban juegos en lí­nea eran bastante primitivos, pero hoy en dí­a los hackers usan lo último en tecnologí­a para escribirlos. Estos programas han evolucionado en tres aspectos: la evolución de las funciones para robar contraseñas, que enví­an la información al usuario malintencionado (programas Trojan-PSW, programas Trojan-Spy); la evolución de las técnicas de propagación (gusanos y virus); la evolución de las técnicas de defensa del malware contra los programas antivirus (rootkits, killav, empaquetadores).

Troyanos
La primera vez que se registró el uso de un programa malicioso para robar las contraseñas de un juego en lí­nea fue en 1997, cuando las compañí­as de antivirus empezaron a recibir correos electrónicos infectados que los jugadores de Ultima Online les habí­an enviado para que los analizaran. Al principio, estos programas eran capturadores de teclado clásicos. Los capturadores de teclado son troyanos que registran las teclas que el usuario presiona, incluyendo las que usa al introducir su contraseña para entrar a un juego.

Un troyano moderno que robe contraseñas de juegos en lí­nea tiene que contar con una biblioteca dinámica escrita en Delphi, y debe tener la capacidad de conectarse automáticamente a todas las aplicaciones del sistema. Cuando se inicia un juego en lí­nea, este tipo de programa intercepta la contraseña ingresada en el teclado, la enví­a al correo electrónico del usuario malintencionado y luego se borra a sí­ mismo. El uso de una biblioteca dinámica le permite al troyano encubrirse dentro del sistema y hace que la instalación del troyano en el ordenador de la ví­ctima sea más simple al hacer posible el uso de un Trojan-Dropper, un gusano u otro malware.

Gusanos y virus
Ya que los juegos en lí­nea son tan populares en todo el mundo, no es difí­cil encontrarse con algún jugador entre los usuarios de Internet comunes. Esta es la razón por la que el poder reproducirse por sí­ mismo se convirtió en un factor importante en la evolución del malware diseñado para robar contraseñas de los juegos en lí­nea. Estos programas tienen en la mira la mayor cantidad de jugadores, juegos y servidores posible.

Nuevas tecnologí­as de defensa de los malware que atacan los juegos en lí­nea
El constante intento que los escritores de virus hacen para vencer a los antivirus ha hecho posible la creación de medios de defensa para que el malware logre evadir las soluciones antivirus.

El primer paso es el uso de compresores para esconder el código del programa de un escáner. Los compresores protegen el código contra el desensamblado y hacen que el malware sea más difí­cil de analizar.

En la siguiente etapa se usa una tecnologí­a para engañar a los antivirus (killav), de esta manera, el malware puede deshabilitar las soluciones antivirus del ordenador, o bien, evitar que los antivirus noten su presencia.

Los rootkit son lo último en tecnologí­a de defensa de malware de juegos en lí­nea, ya que pueden evitar que los antivirus y los procesos de sistema se den cuenta de las acciones de los programas maliciosos.

Cómo se llevan a cabo los ataques hoy en dí­a
La evolución del malware que roba contraseñas de los juegos en lí­nea está retrasada en comparación con la de otros programas maliciosos. La causa es el poco tiempo de vida de los juegos en lí­nea y el tipo de malware que los ataca. Durante mucho tiempo los programas maliciosos eran muy simples y solo estaban escritos en Delphi, lo que facilitaba el trabajo a los antivirus a la hora de detectarlos y eliminarlos. Pero en los últimos dos años, los escritores del malware que ataca juegos en lí­nea han decidido cambiar de estrategia en un intento de burlar la seguridad de los antivirus. En la actualidad, los gusanos que atacan los ordenadores de los jugadores tienen funciones múltiples: Pueden reproducirse por sí­ mismos (gusanos de correo electrónico, gusanos P2P, gusanos de redes), infectar archivos ejecutables (virus), esconderse en el sistema (rootkits) y robar contraseñas (troyanos PSW).

Componentes del malware diseñado para atacar los usuarios de juegos en lí­nea
Luego se hacen enví­os masivos del gusano por correo electrónico. Un movimiento en falso del usuario que recibe este tipo de spam (pulsar algún enlace del mensaje, abrir un archivo desconocido, etc.) hará que todos los archivos ejecutables del ordenador se infecten, el gusano se enví­e automáticamente a todas las direcciones de la cuenta del usuario y que el código malicioso se difunda masivamente. El problema es que la ví­ctima no se dará cuenta de nada, ya que la tecnologí­a del rootkit lo volverá invisible en el sistema.

Hay que destacar que en casi todos estos casos, las contraseñas robadas se enví­an a un correo electrónico o un servidor FTP en un dominio .cn.

Consideraciones geográficas
Al hablar de robos de contraseñas en juegos en lí­nea, es necesario darle un toque asiático, ya que las estadí­sticas demuestran que esta región es la que tiene más jugadores de este tipo de juegos. El robo de contraseñas de juegos en lí­nea es un tema importante principalmente para China y Corea del Sur. Las cifras hablan por sí­ mismas: China escribe más del 90% de todos los troyanos que afectan a juegos en lí­nea y el 90% de las contraseñas que estos troyanos roban pertenecen a usuarios de sitios surcoreanos.

En otros paí­ses, raras veces aparecen nuevos troyanos de juegos en lí­nea y casi nunca hay más de 2 ó 3 modificaciones.

Algunas estadí­sticas
A diferencia de la situación en Rusia, el resto del mundo se enfrenta cada año a un crecimiento en el número de nuevos programas maliciosos y nuevas modificaciones de programas maliciosos conocidos que afectan a los juegos en lí­nea. Cada dí­a, Kaspersky Lab recibe más de 40 programas maliciosos que roban las contraseñas de los juegos en lí­nea más usados. Además, la cantidad y calidad de los programas que recibimos aumenta cada vez más debido a la reacción de las compañí­as de antivirus y el incremento en la popularidad de los juegos en lí­nea. La mayorí­a de estos programas están codificados para atacar a servidores de juegos especí­ficos.

Los mundos virtuales de estos juegos en lí­nea han estado en la red desde el año 2004. Mientras más se daban a conocer, más interesantes se volví­an para los criminales cibernéticos. En 2006, el número mensual de troyanos de Lineage2 y WoW se fue a las nubes y al final de ese año alcanzó el 70% del total de programas maliciosos que afectan a los juegos en lí­nea.

Conclusión
El número de juegos en lí­nea está en constante crecimiento y el ejército de jugadores aumenta se repone con nuevos reclutas. Existen programas diseñados para robar contraseñas de las cuentas de casi todos los MMORPG. Si no existe ningún programa malicioso para algún juego en lí­nea especifico, es solo porque los usuarios todaví­a no pueden pagar tanto como para interesar a los usuarios malintencionados.

El aumento en el número de programas maliciosos que afecta a los juegos en lí­nea tiene varias razones. Una de ellas es la posibilidad de venta de artí­culos virtuales robados a cambio de dinero en efectivo. Es un negocio muy lucrativo y la verdad es que no existen consecuencias graves por robar contraseñas. En la mayorí­a de los juegos hay reglas que dicen que todos los componentes del juego son propiedad de los diseñadores. El jugador solo utiliza los servicios, incluida la contraseña de la cuenta. Por lo tanto, si le roban la contraseña, su única opción es acudir al administrador, y no a ningún organismo legal.

Desde un punto de vista legal, el robo de una propiedad virtual no se considera un crimen y de lo único que se puede acusar al usuario malintencionado es de difundir programas maliciosos o cometer actos fraudulentos.

Los criminales cibernéticos siempre tienen los ojos puestos en los usuarios de juegos en lí­nea.

Protección
Los diseñadores de juegos intentan proteger a sus usuarios mediante la introducción de nuevos métodos de autorización e identificación, protocolos criptográficos, todo tipo de parches para los jugadores e incluso cambiando los artí­culos disponibles en el juego.

Las compañí­as de antivirus están tratando de prevenir el robo de contraseñas de los clientes de juegos en lí­nea al actualizar las bases de datos de malware de manera rápida y constante. También agregan a los antivirus métodos heurí­sticos y patrones de comportamiento de los programas maliciosos que atacan a los clientes de juegos en lí­nea. Esto sirve para que el antivirus detecte los programas malintencionados con mayor facilidad.

También existe otro método efectivo para proteger a los usuarios de juegos en lí­nea: trabajar activamente y en conjunto con los diseñadores de los juegos y las compañí­as de antivirus. En 2004, se firmó un tratado entre Kaspersky Lab y los diseñadores de "Fight Club", un juego en lí­nea ruso. Este tratado estipula que se enviará a Kaspersky Lab cualquier código sospechoso que los administradores o usuarios del juego encuentren, para que nuestros especialistas los analicen e identifiquen y de esta manera se proteja la propiedad virtual de la manera más eficiente posible. Este tratado resultó ser bastante productivo. Gracias a él se evitaron miles de robos de contraseñas de juegos en lí­nea. Si los ataques de estos usuarios malintencionados hubieran sido exitosos, habrí­an obtenido al menos decenas de miles de dólares en dinero real.

¿Qué deben hacer los usuarios para prevenir que les roben sus contraseñas? Como siempre, tomar medidas de seguridad básicas, usar el sentido común, no perder la cabeza y usar el mejor antivirus que puedan encontrar.