El equipo de investigación de la firma de ciberseguridad Kaspersky descubrió 34 millones de contraseñas robadas del videojuego Roblox, uno de los más populares del mundo y muy jugado por chicos. Además, en 2023 ya se multiplicó por 33 el número de passwords robados de OpenIA, empresa dueña de ChatGPT, el chatbot más usado del mundo.
Según expertos de Kaspersky Digital Footprint las contraseñas se robaron mediante infostealers, un tipo de malware diseñado para robar inicios de sesión y passwords de usuarios que infecta dispositivos personales y corporativos mediante phishing y otros métodos.
Roblox, que tiene cerca de 216 millones de usuarios activos cada mes, es un juego que permite crear otros juegos y servidores para que los videojugadores no sólo interactúen mediante el juego sino también para pasar el rato, chatear y charlar.
“La venta de credenciales de acceso a cuentas comprometidas ocupa una parte importante del mercado de la dark web. Los ciberdelincuentes suelen comprarlas y venderlas de diversas plataformas y servicios online”, explicaron desde Kaspersky.
«Las credenciales en cuestión provienen de la actividad de los infostealers, una forma especializada de malware diseñada para robar contraseñas de usuarios para ciberataques, ventas en la dark web u otras actividades maliciosas», agregó Yuliya Novikova, responsable de Kaspersky Digital Footprint Intelligence.
Qué es un “infostealer”
Como su nombre en inglés lo indica, un infostealer es un programa que roba información. Por lo general, según el tipo de ataque que el actor de amenazas esté llevando a cabo, apunta a información sensible tanto para llevarse activos financieros como accesos a sistemas. Fueron popularizados durante los últimos años por el ransomware, un tipo de malware que cifra archivos para volverlos inaccesibles y pedir un rescate a cambio.
“Un infostealer es un un malware que originalmente fue un agregado al ransomware, en el cual no solamente se cifraban los datos, sino que también se exfiltraba un montón de información del target [víctima] afectado. Se usaba como una doble extorsión: me pagás y te doy la llave para descifrar los archivos. Pero como muchas veces el afectado tenía backup, el cibercriminal aplicaba una segunda etapa que implicaba publicar la información para dañar la imagen y ejercer un daño reputacional”, explicó a Clarín Joaquín Rodríguez Varela, cofundador e investigador en seguridad de Patagonia Security.
Ahora bien, el robo de información personal es muy útil más allá de esta técnica extorsiva: hay datos que son un valor en sí mismo. “Esa información además sirve para sacar otros provechos, por eso muchas veces se vende en la dark web. Lo que se suelen robar son credenciales de acceso porque son muy útiles; cookies, porque pueden levantar sesiones iniciadas y controlar cuentas; wallets de cuentas bancarias y lo que más suele interesar son cuentas corporativas, accesos a redes de empresas”, agrega el especialista de la empresa de ciberseguridad ofensiva.
Los más conocidos del mercado negro son Raccoon y RedLine Stealer, pero a medida que los researchers encuentran nueva información, aparecen nuevos. Por ejemplo, esta semana, Cisco Talos descubrió una nueva campaña que arrancó en noviembre del año pasado en México, llamada «Timbre Stealer», un infostealer «de amplio espectro». Es decir, roba información de todo tipo.
“Muchas de las noticias que se ven en los medios tienen que ver con credenciales compradas en el mercado negro. Hoy en día si tenés una credencial de una empresa y podés acceder a la VPN, medio que game over. Para el atacante es muy valioso porque sirve para muchas cosas. A fin de cuentas, los ciberdelincuentes monetizan al máximo el robo de información, comprometen a una víctma con ransomware y después monetizan esa información robada en foros underground”, cierra Rodríguez Varela.
Roblox, un blanco muy atacado
Según la investigación de Kaspersky, “entre 2021 y 2023, se atacaron y publicaron casi 34 millones de cuentas de Roblox en la dark web, convirtiendo el juego en un objetivo muy fructífero para los ciberdelincuentes que utilizan malware para robar información. Resulta preocupante que el número de cuentas comprometidas para este popular juego infantil haya ido aumentando gradualmente cada año: en los últimos tres años, esta cifra aumentó un 231%, pasando de aproximadamente 4.700.000 en 2021 a 15.500.000 en 2023”.
Por el período tomado, muchas de esas claves pueden haber sido ya cambiadas, aunque por lo general, la higiene de contraseñas no es algo que el usuario promedio tenga en cuenta y, aún comprometidas, muchos las dejan igual.
En general, el número medio de cuentas comprometidas en una combinación de otras 11 plataformas o juegos populares aleatorios (Twitch, Electronic Arts, PlayStation y Steam, entre otros) aumentó un 112 % desde 2021, agregan.
«La razón por la que se producen tantos robos de credenciales de inicio de sesión asociadas a Roblox es que los niños se encuentran entre el público más vulnerable, ya que son susceptibles a diversos tipos de ingeniería social. Por ejemplo, los ciberdelincuentes pueden ocultar programas de robo de información en archivos que contienen códigos de trucos para engañar a los jóvenes jugadores. En algunos casos, este engaño puede parecer auténtico, ya que los enlaces de descarga maliciosos pueden publicarse en plataformas de redes sociales legales y populares como YouTube», añade Yuliya Novikova.
Ahora bien, ¿por qué se atacan videojuegos como Roblox? La cantidad de usuarios que tiene esta plataforma es un primer punto a favor del atacante, que, explican, “tienen como objetivo las cuentas de juegos para robar elementos valiosos, como dinero real, moneda del juego y diversos artículos del juego, como skins caros”
“Las cuentas de Steam parecen ser más llamativas para los ciberdelincuentes por la posibilidad de encontrar y robar dinero real en ellas. Las cuentas de Roblox pueden explotarse para robar Robux, la moneda del juego, para hacerse con objetos, o para acceder a cuentas premium que permiten transferir objetos a otras cuentas. Aunque los usuarios deben extremar las precauciones, los responsables de las plataformas deben reforzar la protección rastreando y bloqueando rápidamente las cuentas comprometidas a través de servicios especializados», concluye la responsable de Kaspersky Digital Footprint Intelligence.
La IA, en el menú de los atacantes
En la investigación también se reveló que credenciales de servicios de inteligencia artificial, tales como edición de imágenes, traducción, ajuste de textos, chatbots o generadores de voz, también ganaron popularidad entre los atacantes.
“En los últimos tres años, por ejemplo, más de un millón de credenciales de usuarios de aplicaciones (inicios de sesión y contraseñas) de la herramienta de diseño gráfico online Canva, impulsada por IA, se vieron comprometidas con malware de robo de datos. Además, los datos de Kaspersky Digital Footprint Intelligence mostraron que estas credenciales aparecieron en foros de la dark web y en canales de Telegram. A otro popular asistente de escritura por IA, Grammarly, le robaron unas 839.000 contraseñas de usuario entre 2021 y 2023”, explicaron.
OpenAI, muy usada de manera masiva por la popularidad de ChatGPT, también fue protagonista de una filtración como resultado de las actividades de los ciberdelincuentes: casi 688.000 credenciales de los servicios de la empresa, incluido ChatGPT, se vieron comprometidas entre 2021 y 2023 y se encontraron en canales clandestinos.
“En particular, en el último año de adopción generalizada de chatbot, el número de inicios de sesión y contraseñas filtrados se multiplicó casi por 33 en 2023 en comparación con el año anterior, alcanzando aproximadamente 664.000”, explicaron.
Por esto, entre las medidas recomendadas para evitar que nuestras cuentas se vean comprometidas, es recomendable:
- En tanto se trata de juegos que usan mucho los chicos, es clave el rol familiar a la hora de explicar los riesgos del compromiso de cuentas, desde la suplantación de identidad hasta poder perder el progreso de un juego.
- Es importante proteger todos los dispositivos que se utilicen con una solución de seguridad de confianza.
- Utilizar una contraseña diferente para cada servicio. Así, aunque los ciberdelincuentes roben una de las cuentas, no afectará al resto. Es preferible usar gestores de passwords en vez de repetir en todos los servicios siempre la misma.
- Siempre que sea posible, hay que proteger las cuentas con autenticación de dos factores. Si no, es clave revisar la configuración de las cuentas.
- En una empresa, organizar una supervisión proactiva de la dark web para identificar las cuentas comprometidas antes de que afecten a la ciberseguridad de clientes y empleados.