Después del lanzamiento del juego para teléfonos inteligentes en la realidad aumentada de
Pokémon Go en julio del año pasado, se convirtió en un fenómeno internacional. El juego motivó a los jugadores a abandonar la casa y caminar por las calles en busca de monstruos. Dentro de una semana después del lanzamiento, el número de usuarios de
Pokémon Go en 24 horas fue más que los usuarios activos de Twitter.
Sin embargo, no todos podían lanzar el juego: la gran popularidad de
Pokémon Go atrajo a más jugadores de los que los servidores del desarrollador de aplicaciones Niantic podrían soportar. "Probablemente, la demanda del juego resultó ser demasiado grande",
sugirió una de las fuentes , hablando de congelaciones y problemas con el acceso al servidor por parte de jugadores de todo el mundo.
Sin embargo, la verdad era un poco diferente.
Casi después del lanzamiento del juego, los hackers comenzaron a crear ejércitos de bots: golems digitales, jugando en lugar de usuarios, cultivando Pokémon y sitiando pokestops para ganar la competencia. El joven hacker francés Maxim Griot dice: "Descubrimos variables ocultas que controlaban el" nivel de perfección "del Pokémon. Por lo tanto, nuestros bots podrían atrapar las versiones más avanzadas de todos los Pokémon ".
Armados con esta información, los piratas informáticos pudieron usar estrategias para una experiencia más rápida que los jugadores en vivo. "Podríamos alcanzar niveles teóricamente imposibles para el usuario promedio", dice Griot.
Los intrépidos hackers
Pokémon Go pronto encontraron una manera de engañar no solo la probabilidad, sino también la geografía. Los jugadores comunes para cazar monstruos "endémicos" tenían que visitar físicamente los lugares apropiados. Los robots piratas informáticos podrían moverse a cualquier parte del mapa donde se atraparan criaturas raras.
Mientras que los medios de juego tradicionales y especializados están repitiendo la historia de la congestión del servidor debido a su increíble popularidad entre los jugadores, Griot, ahora
un ingeniero anti-trampas en
Bethesda Softworks , sabe la verdad:
los servidores
Pokémon Go estaban abrumados por oleadas de robots, no humanos. A fines de agosto, Niantic comenzó a amenazar silenciosamente a los creadores de bots disponibles públicamente
con enjuiciamiento .
En los últimos años, el uso de cheat bots se ha convertido en la maldición de muchos videojuegos en línea. Básicamente, este tipo de trampa es común en MMO, por ejemplo, en
World of Warcraft . Los jugadores de baja estatura o aburridos usan bots para derrotar a los monstruos: gana puntos de experiencia automáticamente para subir de nivel a su personaje.
Los jugadores vivos ya están acostumbrados a compartir mundos virtuales con bots, persiguiendo sus objetivos de forma mecánica y monótona. Sin embargo, después de exceder un cierto número de bots, el ecosistema del juego puede fallar.
"Superando a los jugadores en vivo en la recolección de todos los recursos disponibles, los bots pueden hacer que el mundo no se pueda jugar", explica Griot. “Puede matar un juego. La gran cantidad de bots que juegan al juego es más perjudicial para el editor que casi cualquier forma de ataque de piratas informáticos ".
Los bots son solo una de las formas en que los piratas informáticos pueden desequilibrar un juego para aprovecharlo. A menudo, los piratas informáticos pueden dar ventajas sobrehumanas a los jugadores de FPS; crean y venden trucos que permiten a los usuarios sin principios
entrar automáticamente en la cabeza o ver y disparar a través de objetos.
Puede ser increíblemente fácil para un pirata informático experimentado insertar el código deseado en un juego ejecutable, dándoles (o las personas a quienes vendieron el truco) una ventaja injusta sobre otros jugadores. A menudo, el tráfico de red durante el juego no está encriptado, para no reducir su velocidad. Sin cifrado, un atacante puede cambiar el tráfico de red transmitido entre el juego y el servidor. Si no se realizan verificaciones adicionales en el lado del servidor, entonces el truco tiene claves para todo el mundo virtual.
"Uno de los vectores de ataque de hackers más populares es la ingeniería inversa", dice Griot, quien aprendió a programar a la edad de catorce años. Después de mudarse de Francia a Los Ángeles, comenzó a piratear juegos en línea para que funcionen en servidores privados sin pagar una suscripción mensual.
Mientras era estudiante, incluso ganó dinero lanzando juegos populares en servidores privados, solicitando contribuciones voluntarias. "La forma más fácil de engañar a un juego es entender cómo funciona el cliente y cómo responde el servidor", dice. "Habiendo descubierto los datos, los hackers simplemente escriben bots o evitan el mecanismo de defensa del lado del cliente".
Ian Reynolds es uno de los principales consultores de seguridad en línea de Gran Bretaña. En el pasado, realizó pruebas de seguridad en la red real del Palacio de Buckingham. En su opinión, las amenazas de piratas informáticos para los desarrolladores de juegos son mucho más importantes que las epidemias de bots o tramposos. “Muchos juegos modernos son capaces de procesar información financiera para comprar contenido adicional. Dicha información es un objetivo principal para las comunidades criminales ”, dice.
Por ejemplo, en 2011, Sony sufrió el mayor ataque cibernético en ese momento. Los nombres, direcciones, fechas de nacimiento, direcciones de correo electrónico e información de registro de aproximadamente 77 millones de personas de diferentes partes del mundo fueron robados del PSN.
"Si un atacante puede modificar el código fuente del juego, podrá inyectar código malicioso en el juego, que, al hacer un pago, redirigirá al usuario a una página falsa para ingresar información de la tarjeta de crédito".
En 2016, la mayoría de los ataques fueron motivados financieramente. Los más comunes fueron los ataques DDoS, que desactivan el servidor con una corriente de tráfico artificial. A menudo, tales ataques se cometieron durante las vacaciones escolares, cuando los llamados "script-kiddies" estaban aburridos y querían dar una pequeña patada en línea. Pero cada vez más a menudo los ataques DDoS se utilizan como una forma de extorsionar el rescate de organizaciones para servidores deshabilitados.
"Para los ingresos de compañías como Sony o Microsoft, este tipo de ataques tienen un efecto catastrófico", dice Reindolds. “Muchos juegos usan un modelo de suscripción o contenido comprado. Por lo tanto, la falla de los servidores muy rápidamente puede crear un enorme déficit de ganancias, ya que los jugadores no podrán realizar compras. Los desarrolladores también sufren pérdidas significativas al devolver fondos a las tarjetas de crédito de los usuarios: los jugadores aprovechan la oportunidad de devolver su dinero porque no pueden acceder a los servicios por los que pagaron ".
No hace mucho tiempo, apareció un tipo de ataque malicioso más personal contra los desarrolladores de juegos. En 2014, Phil Fish, fundador de Polytron y creador de Fez, se convirtió en un objetivo para hackers y perseguidores. Sus datos personales fueron publicados y los servidores de la compañía fueron pirateados. Los hackers robaron y publicaron correos electrónicos, contraseñas, información bancaria y otra información sobre Fish, lo que obligó al desarrollador canadiense a cambiar su lugar de residencia.
"Se debe alentar a los desarrolladores a ocultar cuentas de redes sociales y foros en línea para que la menor cantidad posible de su información personal esté disponible públicamente", dice Reynolds. "Cuanta menos información revele el público sobre una persona en particular, es menos probable que recopilar información de fuentes abiertas le dé al atacante información útil para continuar el ataque de
doxing ". Para la seguridad de los desarrolladores de juegos, la autenticación de dos factores y el uso de diferentes contraseñas en diferentes cuentas son críticos, especialmente si sospechan que podrían ser el objetivo de un ataque.
El ataque contra Fish debía convertirse en una amenaza y asustarlo. Otros desarrolladores,
por ejemplo, Valve , son pirateados para obtener información exclusiva sobre proyectos futuros. "Una de las mayores amenazas para las organizaciones hoy en día es la explotación del lado del cliente", dice Reynolds, quien a menudo prueba de forma independiente la seguridad de las oficinas de la empresa.
Por ejemplo, a veces penetraba en las salas de fumadores de las organizaciones, vestido con la forma de un correo y llevando una caja grande. El cálculo se basó en el hecho de que alguien le abriría la puerta, permitiéndole eludir el sistema de seguridad. Una vez en el edificio, Reynolds comenzó a buscar una sala de conferencias vacía para obtener acceso a la red para atacar el dominio de Windows o la infraestructura circundante.
"Con mucho, el método de ataque más popular son los enlaces o archivos maliciosos en el correo electrónico, que permiten romper el perímetro de seguridad de la empresa y obtener acceso a la red interna", dice.
“Trabajé en varios estudios en los que un empleado desprevenido hizo clic en un enlace malicioso en un correo electrónico, lo que llevó a comprometer su estación de trabajo. El atacante obtuvo acceso completo al repositorio de código utilizado por el equipo de desarrollo ".
Los ataques de esta magnitud afectan en gran medida a las empresas de software. El trabajo de varios meses se puede perder en segundos si el código fuente es robado y publicado en línea. También existe la posibilidad de que el atacante inserte código malicioso en el código fuente del juego que afectará directamente al usuario final.
"En la mayoría de los casos, los antivirus y, a veces, el propio sistema operativo bloquean el código malicioso en la máquina del usuario final. Pero el código insertado en el juego puede conducir a la filtración de información importante. Ataques como "hombre en el medio" recopilan datos valiosos para comunidades criminales ".
A pesar del hecho de que cada vez más empresas son conscientes de los riesgos que soportan los hackers organizados de videojuegos y sus creadores, Griot, que ha estado en ambos lados del frente, cree que los tramposos y los ladrones tienen una ventaja. "Los hackers están ganando la batalla ahora", dice.
“Las compañías de juegos se niegan a invertir en tecnologías de seguridad. Es posible evitar una situación en la que se desperdician millones de dólares en costos de juego debido a un bot o truco barato. Los creadores de los juegos en línea deben ocuparse de la seguridad por adelantado, y no un par de meses antes del lanzamiento del juego ".