Pat Garratt: “los ‘jugones’ siempre serán una presa fácil para los ciberdelincuentes, pero no es nuestra culpa”.

Patrick Garratt es un veterano (15 años ya) de la industria de los videojuegos, y ha estado detrás de la aparición de principales sitios de noticias como Eurogamer y VG247. También es escritor y ha publicado novelas de terror. Afirma que el aumento de los ataques contra los sitios de juegos de azar y los jugadores que se ha producido este año (de los cuales informó “We Live Security” aquí y aquí) es inevitable, porque en el mundo de las descargas, no solo de música, incluso un veterano como él puede ser tentado por una estafa inteligentemente diseñada.

Me encantan juegos como “Left 4 Dead 2”, pero mis tres hijos y mi trabajo me mantienen alejado de ellos. Estoy demasiado ocupado siendo padre para leer acerca de sus complementos más recientes o los nuevos mapas, pero, a finales del año pasado pensé que podría buscar algo por diversión. En un foro de fans leí «Mapas L4D2 Pack Super + Installer», así que fui al enlace de Torrent de 8 Gb mientras leía los comentarios que hacían. Era un troyano, y de los malos. Obviamente. Y, a pesar de que he trabajado en la industria de los juegos desde hace 15 años, casi me infecto.

Después de estar usando profesionalmente los juegos desde 1998, entiendo por qué soy una importante víctima potencial del malware. Lo sé, pero esto no me hace más difícil de engañar.

No es ninguna sorpresa que los que buscan víctimas lo hagan entre los jugadores más básicos, los que usan juegos online multi-jugador masivos (MMO) o tiradores competitivos. Este grupo es insaciable, y no sólo consume contenidos de juegos como Oliver Twist devora gachas, pero también descargan tantas novedades en forma de bytes, complementos, trucos, etc. que pueden ser engañados fácilmente. La gente se arriesga a prohibiciones de toda la vida de su juego favorito sólo para ser capaz de pescar un 10% más rápido (historia real, World of Warcraft). Si yo fuera un programador de troyanos en busca de un grupo de pardillos entusiastas y adictos de la informática, los jugadores podrían ser el objetivo número uno, sin duda.

Los juegos de ordenador, si es que nunca se ha metido en este mundo, no son lo mismo que instalar, por ejemplo, Angry Birds en el iPad, y esperar pacientemente a las actualizaciones. Se pueden ajustar. Puedes “toquetearlos”, volver a escribir cosas si te apetece. Los ‘Mods’ caseros han sido parte de los videojuegos desde hace décadas, y se han difundido muchísimo algunos de sus grandes éxitos, como DOTA (un ‘mod’ de Warcraft 3, hecho por un fan, no un estudio de juegos) que se convirtió en un éxito mundial. “Counter-Strike” tenía más o menos los mismos orígenes.

Pero el problema surgió, sin embargo, cuando las empresas decidieron engancharse a todo esto por libre, a la creatividad de código abierto.

El problema no está en los jugadores, ni las compañías viviendo de ellos, sino que es toda la cultura alrededor de los ordenadores. Es un signo de tu madurez con los juegos de ordenador construirte tu plataforma, repararlo tú solo y, francamente, si no tienes un soldador y herramientas de relojero, no eres jugador real. Los juegos de ordenador son lo contrario al “no tocar dentro” de un Mac o un iPad. Los jugones son los manitas del mundo de la informática, ajustando el rendimiento sin fin, supervisando los gráficos y mutilando placas base, por no hablar de la desconexión de su software antivirus para exprimir hasta la última gota del procesador (una encuesta de ESET encontró que un tercio de los jugadores hace precisamente eso siempre).

Instalar add-ons posiblemente maliciosos es totalmente normal. En World of Warcraft, por ejemplo, uno puede ser expulsado de grupos de «amigos de aventuras” sin mediar un aviso por no ejecutar complementos “cuasi legítimos” como Recount.

Para Bizzard, cuando lanzaron World of Warcraft en 2004, ellos mismos animaron el mercado de complementos, a diferencia de sus rivales, y podría decirse que una de las razones para el ascenso meteórico del juego es el hecho de que se puede agregar cualquier cosa, desde un ‘espía’ que le dice si otros jugadores son muy buenos hasta una flecha estilo GPS que te dice a dónde ir. Cualquier idea que le gusta a Bizzard, la pondrán en la próxima actualización. Quieren ganar en todo, excepto cuando se propaga la infección.

Naturalmente, los ciberdelincuentes se han orientado a estos sistemas, creando una página web falsa para Curse, la mayor tienda de add-ons. Se le hizo subir artificialmente en el ranking de Google usando trucos de motores de búsqueda, y cada complemento ofertado fue infectado con malware de robo de datos construido para eludir la aplicación de seguridad de doble factor de Blizzard. Un sobresaliente para el esfuerzo, por lo menos, por parte de los delincuentes, aunque de Blizzard afirma que el sistema funciona «el 99% del tiempo.» Un sobresaliente para el esfuerzo, por lo menos. En otros juegos, el mercado negro complementos se utiliza habitualmente. Si te proporciona una ventaja, miles de personas se apuntarán. Incluyendo personas que realmente deberían estar mejor informados, como yo.

Otras compañías de juegos, sin embargo, son culpables de la exponer a los clientes a ataques por razones menos lógicas. Como “Uplay” de Ubisoft, un sistema de «seguridad», que ofrecía muy poco, excepto pobres bonificaciones (como fondos de pantalla), a cambio de garantizar a los jugadores que no podrían copiar o vender fácilmente sus juegos. Los jugadores estaban «obligados» a registrarse para utilizar los juegos incluso en las consolas. El sistema Uplay requiere que los usuarios inicien sesión con un correo electrónico o contraseña, y no solo ofrece extras digitales, sino que también funciona como un sistema de gestión de derechos digitales (DRM) para evitar la copia. Cuando los datos se ponen en riesgo sólo para asegurar las ganancias, se gana más, pero se puede conseguir un enfurecimiento de los usuarios. Naturalmente, Ubisoft, como Sony antes que ellos, fue hackeado. Las contraseñas se filtraron. Los jugones se enfadaron mucho.

Un jugador en los foros oficiales de Ubisoft dijo: «Tomad nota, nunca voy a comprar ni jugar otro juego de Ubisoft preparado para Uplay en Xbox que me obligue a crear otra cuenta aquí. Sólo tenían que hacer una cosa: ¡mantener la información de mi cuenta a salvo! «

Una reciente estafa de Grand Theft Auto V destaca cómo de susceptibles son los jugadores de PC al malware si los delincuentes ofrecen el cebo adecuado. A pesar del hecho de que Rockstar, el editor del juego, nunca ha mencionado que vaya a haber una versión para PC, miles de jugadores descargaron un archivo de 18Gb que afirma ser sólo eso. El fichero, obviamente, no era un juego. Era «el Theft», sí, pero fueron los propios usuarios los robados.

La lógica no siempre se aplica en el mundo de las descargas de juegos de ordenador. Jugadores muy involucrados están dispuestos a asumir riesgos graves, no sólo para jugar a juegos que no existen, sino también para conseguir una ventaja deshonesta en el juego. Existen hacks de trucos sin fin para juegos, como liderar el MMO World of Warcraft (WoW) y los de acción en primera persona como Counter-Strike, pero un gran número de ellos llevan el malware. Según la guía de seguridad de We Live Security, la cifra puede ser tan alta como nueve de cada diez descargas. Tener paredes transparentes hace que se puedan liberar rehenes más fácilmente, pero ¿realmente merece la pena?

La red PlayStation Network de Sony, como es sabido, fue víctima de un gran ataque legendario en el que se accedió a datos de tarjetas de crédito, direcciones de correo electrónico y mucho más. Mientras que hace unos pocos años esto no habría tenido ningún efecto en la seguridad del ordenador personal, los servicios de juego en línea ahora son multi-plataforma, que abarca la consola, PC y móvil: si eres hackeado en la PlayStation, podrías serlo por todas partes.

Los jugadores de PC son algunos de los consumidores digitales más apasionados y crédulos en el mundo. Lo sé porque yo soy uno de ellos. He hackeado mi WoW UI para agregar mapas y seguidores, y he instalado mods para instalar los juegos más antiguos que amo hasta que los gráficos funcionen. Yo estaba relativamente seguro de que el software no verificado era seguro, pero sólo porque un tipo en un foro dice que está limpio no significa necesariamente que sea así. La verdad es que no me importó. Quería hacerlo porque soy un aficionado hardcore y me encanta los juegos de ordenador. Mientras existan personas como nosotros, siempre habrá un troyano destinado a nuestros discos duros.

Patrick Garratt

Publicado originalmente en «We Live Security«, de ESET