Protéjase: Hacer que los videojuegos sean seguros es una batalla campal
Análisis de datos por Camila Cabrera Camacho
Copia editada por Maria Vlasak
Agradecimiento especial a Chris Finch, Alan Evans, Dan Greer, Ken Eaton y Todd Loewenstein por su experiencia
El sector de los videojuegos es, sin duda, uno de los sectores más influyentes de nuestro tiempo. Con 2580 millones de jugadores en todo el mundo y una tasación valorada en 184 400 millones de dólares, este gigantesco sector seguirá creciendo a medida que cada generación se haga más dependiente de la tecnología. En esta serie de entradas de blog de tres partes, exploraremos el maravilloso mundo de los videojuegos desde unas perspectivas diferentes.
En esta publicación inicial, nos enfocaremos en los desafíos de seguridad al revisar las estadísticas de los últimos 18 meses (enero de 2023 – junio de 2024).
En nuestra segunda publicación, pasaremos a 3D y hablaremos de las personas que están detrás de los videojuegos (a ambos lados de la pantalla).
☁️ En nuestra tercera y última entrada, la serie concluirá con una visión técnica de los videojuegos distribuidos en la nube.
Armaos bien, profesionales de la seguridad
Una de las partes más interesantes del sector de los videojuegos es su posición de seguridad única: hay minas terrestres cibernéticas a cada paso, tanto para los jugadores como para los desarrolladores. El jugador medio tiene más conocimientos tecnológicos que la mayoría de los consumidores de otros sectores, lo que significa que una "amenaza interna" en el sector de los juegos puede provenir del interior de la red o de la realidad digital.
Este sector también cuenta con un perfil de atacante muy exclusivo: el causante de problemas. ¿Un streamer dice algo que no les gusta? Construirá un robot para acabar con su conexión. Un causante de problemas también puede generar confianza fingiendo ser un aliado en el juego y, a continuación, distribuir cargas útiles maliciosas o URL a través de la función de chat.
El bueno, el feo y el malo de un grupo demográfico que entiende de tecnología
El sector aprecia la apertura y la colaboración entre los jugadores, y tiene una mentalidad tecnológica a la par, que, por su naturaleza, es antitética para la difícil situación de la seguridad. Algunos comportamientos considerados sospechosos o incluso maliciosos en la esfera de la seguridad no solo son comunes en la industria de los videojuegos, sino que también son aceptados y alentados; por ejemplo, la modificación es una parte integral de la cultura de los videojuegos y el uso de bots se considera parte de la experiencia de juego en algunos escenarios.
La comunidad de la seguridad sabe muy bien que las mismas tácticas, técnicas y procedimientos que dan a esa comunidad su encanto pueden ser utilizados también con fines maliciosos. Hay una superposición en el diagrama de Venn de personas interesadas en los videojuegos y aquellas con conocimientos técnicos, lo que crea oportunidades para romper reglas y realizar descubrimientos técnicos.
También significa que los objetivos de los atacantes pueden ser diferentes, y esas diferencias influyen en las tendencias de ataque. ¿En qué otro lugar que no sea el mundo de los videojuegos puedes buscar dinero en dos ámbitos diferentes? Incluso puedes hacerlo al mismo tiempo, si lo deseas.
En esta entrada del blog, analizaremos los retos de seguridad que hemos visto en el sector de los videojuegos en los últimos 18 meses.
Saqueo dentro y fuera de línea
Además de las preocupaciones cibernéticas entre jugadores, el sector de los videojuegos todavía tiene que hacer frente a todos los demás desafíos de seguridad a los que se enfrenta el mundo. Sabemos que los atacantes que buscan un beneficio económico van siguiendo el rastro del dinero, y este sector bien podría anunciarse con una señal de neón con símbolos del dólar.
Las ciberamenazas no siempre son técnicas (como sabemos). Y el comportamiento malicioso no es exclusivo de los atacantes. Algunos anuncios de juegos para móviles dirigidos podrían considerarse maliciosos, o incluso poco éticos, aunque no ilegales. Pero, por supuesto, eso describe la publicidad en general; no es específico del sector de los videojuegos. Independientemente de su intención, los anuncios dirigidos afectan a los hábitos de gasto de los jugadores, lo que, a su vez, afecta a dónde se dirigen los atacantes.
Suscripciones
Las compañías que publican videojuegos pueden esperar distribuir millones de dólares para crear un título triple A (AAA), y ese coste llega hasta el consumidor. El salto de 60 a 70 dólares por título no es insignificante, y puede afectar a la decisión de los jugadores preocupados por el presupuesto sobre cuándo (o si) comprar un juego directamente, especialmente con la cantidad de servicios de suscripción disponibles.
Al igual que en otros géneros multimedia similares, los servicios de suscripción son los más importantes en el mundo de los videojuegos. El gran número de juegos en el mercado hace financieramente inviable comprarlos todos. Además de las opciones móviles, existen más de una docena de servicios de suscripción de videojuegos disponibles en la actualidad, todos ellos luchando por una parte de esa tarta de 11 700 millones de dólares .
Aritmética de ataque
Hagamos cálculos: más servicios de suscripción = más cuentas de usuario = más oportunidades de Credential Stuffing o de uso inadecuado de cuentas. Y con más marcas que suplantar, hay más contenido para que los atacantes imiten campañas de phishing u otras estafas.
La fatiga de las suscripciones es real y se vuelve costosa. También está la cuestión del espacio de almacenamiento físico o virtual que debe tenerse en cuenta.
Los ataques de DDoS de capa 7 suben en la clasificación
Los ataques distribuidos de denegación de servicio (DDoS) de capa 7 han aumentado un 94 % respecto al año anterior. Las cifras de ataques siguen siendo altas: en 4 de los 18 meses observados (junio, agosto y diciembre de 2023 y mayo de 2024) se produjeron más de 25 000 millones de ataques DDoS de capa 7 en el transcurso de ese mes (Figura 1).
Fig. 1: Ataques DDoS de capa 7 por mes
De enero a marzo de 2023 se registraron las cifras de ataques más bajas en la capa 7, con menos de 15 000 millones de ataques mensuales. La trayectoria ascendente de este vector es salvaje: la caída en febrero de 2024 fue el número más bajo de ataques mensuales en 2024 hasta la fecha, con más de 19 000 millones, lo que significa que la cifra más baja de ataques mensuales en 2024 hasta la fecha sigue siendo superior al número de ataques en enero, febrero, marzo y abril de 2023.
La región APJ arrasa en las clasificaciones de capa 7
Teniendo en cuenta que la región de Asia-Pacífico y Japón (APJ) cuenta con los ingresos globales más elevados en el sector de los videojuegos en 2023 (85 800 millones de dólares) y los 179 000 millones de jugadores de esa región representan el 23 % de la población, el impacto de la región APJ en el sector es colosal.
Este año, la región de APJ, que se ha superado, ha añadido el mayor número de ataques DDoS de capa 7 a sus trayectorias profesionales, con 186 000 millones de ataques en los últimos 18 meses (Figura 2).
Fig. 2: Ataques DDoS de capa 7 por región desde el 1 de enero de 2023 hasta el 30 de junio de 2024
Horarios de mayor demanda de solicitudes de bots
No se puede hablar de la seguridad sin hablar de bots; son frecuentes en casi todos los sectores. Los objetivos de un autor de botnet , sin embargo, pueden variar enormemente entre el sector de los videojuegos frente a al financieros (u otro), y la funcionalidad que busca el bot puede ayudarnos a determinar muchas cosas sobre el autor de la botnet .
La época del año es otro factor en el comportamiento del atacante. Los siguientes momentos parecen ser especialmente propensos a solicitudes de bots.
Enero y junio
Las solicitudes de bots experimentaron un crecimiento del 391 % entre el primer trimestre de 2023 y el de 2024. Alcanzaron la marca pronto, 2024 comenzó con un número récord de solicitudes de bots en el sector de los videojuegos: 147 000 millones. En un mes (Figura 3).
Fig. 3: Solicitudes de bot dirigidas a videojuegos por mes
Junio superó con creces a enero en cuanto a dinero (145 000 millones), triplicando el total recaudado en junio de 2023. Para poner esas cifras en perspectiva: durante todo el periodo observado, la región de Europa, Oriente Medio y África (EMEA) solo registró 59 000 millones de solicitudes de bots (Figura 4).
Fig. 4: Solicitudes de bots por región en los últimos 18 meses
Verano e invierno
Dado que las rebajas de verano de Steam se realizan en los meses de junio y julio, es probable que estos dos meses continúen experimentando grandes cantidades de tráfico de bots. Esta teoría se apoya en la tendencia simulada de los meses de diciembre de 2023 y enero de 2024: momento de las rebajas de invierno de Steam. Esta teoría también se apoya en el hecho de que la mayoría de las solicitudes de bots procedían de Norteamérica (845 000 millones, para ser exactos).
Estos dos periodos (junio/julio y diciembre/enero) tienden a mostrar un aumento de la actividad online durante las temporadas de gastos intensos, lo que los convierte en momentos lucrativos para que los atacantes se lancen. Los propios jugadores, así como las empresas de juegos, están especialmente expuestos al asedio digital durante esos periodos.
Ataques a firewall de aplicaciones web
Los ataques web en los juegos crecieron un 94 % entre el primer trimestre de 2023 y el de 2024. El aumento más constante se produjo en los ataques de firewall de aplicaciones web (WAF). Después de la caída dramática de mayo de 2023, se podría dibujar una tendencia ascendente decente y consistente mes a mes. Junio de 2024 está actualmente a la cabeza con 1000 millones (Figura 5).
Fig. 5: Ataques de WAF al sector de los videojuegos por mes
En mayo y junio de 2024 se observaron aumentos alucinantes con respecto al año pasado, con un 451 % y 504 %, respectivamente. Esperamos que estas cifras continúen al alza a medida que aumente el uso de aplicaciones y API.
Desglose de ataques web tradicionales
Cuando desglosamos estas cifras y analizamos solo nuestros ataques web tradicionales (inyección de lenguaje de consulta estructurado [SQLi], inyección de comandos [CMDi], inyección de archivos locales [LFI], filtro de scripts de sitios [XSS], inclusión remota de archivos [RFI] y falsificación de solicitudes en el servidor [SSRF]), vemos que la SQLi fue la mayor amenaza web para el sector de los videojuegos durante el periodo analizado, con más de 700 millones de ataques (Figura 6). Esto no es exclusivo de las empresas de videojuegos, tampoco: la SQLi puede ponerle en lo más alto de la tabla de clasificaciones también como jugador.
Fig. 6: Ataques web tradicionales por tipo en videojuegos
La LFI ha ido aumentando constantemente en todos los sectores en los últimos años. Puede dar lugar a otros ataques basados en la web (como XSS) y, en algunos casos, a la ejecución remota de código. Sin duda, es algo a lo que un editor de juegos debe prestar atención.
La SQLi no solo era líder, sino que también era de lo más sorprendentemente irregular, lo que refleja la naturaleza de los videojuegos. La Figura 7 muestra una división mensual de las cifras mostradas en la Figura 6, y la trayectoria de la SQLi podría hacerle sentir mareado, como si estuviera viendo un juego en primera persona entrecortado.
Fig. 7: Ataques web tradicionales a videojuegos por mes
En el primer trimestre de 2023 se produjo un rápido lanzamiento de juegos como parte del atraso por la COVID-19. El continuo retraso de las fechas de lanzamiento como resultado de la pandemia ha aumentado la demanda de estos títulos, lo que probablemente ha contribuido al grave aumento de la SQLi durante ese tiempo. La naturaleza esporádica de la SQLi también podría indicar diferencias en los objetivos de los atacantes.
En América del Norte hay un mayor número de ataques web de gran magnitud
Es difícil para los humanos comprender la diferencia entre 1 millón y 1000 millones, ni hablar de la inmensidad entre 332 millones y casi 9000 millones. Esta es la diferencia combinada entre el número de ataques web en EMEA y APJ frente a Norteamérica entre el 1 de enero de 2023 y el 30 de junio de 2024 (Figura 8).
Fig. 8: Ataques web por región entre el 1 de enero de 2023 y el 30 de junio de 2024
Que entren los créditos
Los videojuegos y otros géneros relacionados con el mundo "nerd" a menudo inspiran innovación real tanto a nivel micro como macro. Desde cosplay hasta coches autónomos, los lujos y estilos de vida del mundo digital han cobrado vida gracias a la comunidad de los videojuegos.
A medida que nuestras vidas se vuelven más digitales, las habilidades de los videojuegos se vuelven cada vez más valiosas, y pueden tener efectos positivos en su carrera. Los videojuegos requieren un nivel de curiosidad y resolución de problemas que es absolutamente transferible al éxito corporativo, y las empresas y universidades están tomando nota y actuando en consecuencia.