Lo que revela una investigación de seguridad sobre las ciberamenazas actuales en los videojuegos

Anatomía de un Compromiso de Ciberseguridad
Cuando se detectan actividades inusuales o anomalías en la infraestructura de TI de una empresa, esto puede indicar un problema potencial. En estos casos, un equipo de profesionales de seguridad analiza la evidencia disponible para determinar si se ha producido un acceso no autorizado, identificar las técnicas empleadas y evaluar el impacto para la organización.

Una investigación reciente del equipo de seguridad Bulletproof presenta un resumen de los mecanismos detrás de las ciberamenazas modernas.

Una investigación exhaustiva suele abarcar las siguientes áreas:

Servidores críticos con actividad inusual
Registros del sistema y tráfico de red
Estado de configuración y parches
Inteligencia de amenazas y análisis de comportamiento
Capacitación interna sobre concienciación y mejores prácticas en ciberseguridad
Estos métodos buscan identificar exhaustivamente todos los indicadores, como posibles puertas traseras y técnicas de exfiltración de datos.

Cómo investigar una brecha de seguridad
Los investigadores de seguridad utilizan una combinación de herramientas automatizadas e investigación práctica para:

Recopilar y revisar evidencia de los sistemas afectados
Clasificar procesos y actividades sospechosas
Analizar el tráfico de red en busca de conexiones anormales
Examinar los registros en busca de indicios de acceso no autorizado
Revisar el código de la aplicación en busca de vulnerabilidades ocultas o cambios maliciosos
Principales hallazgos: Qué se escondía tras los ciberataques de juegos y medidas que las organizaciones pueden utilizar para reforzar su resiliencia contra estas amenazas.
Durante nuestra investigación de un cliente de juegos de casino, se confirmó el equivalente digital de un robo. Esto es lo que nuestro equipo de ciberseguridad encontró:

Procesos maliciosos: Se había instalado software sospechoso silenciosamente en servidores clave. Herramientas como PupyRAT y Rekoobe son conocidas por otorgar a los atacantes control secreto sobre los sistemas, lo que les permite elevar privilegios y robar datos sin ser detectados.
Viviendo del terreno: Los atacantes utilizaron astutamente software legítimo ya presente en los servidores (como el agente de Amazon SSM) para evitar dar la alarma. Esta técnica, denominada "Living off the Land", permite que sus acciones se integren con las operaciones normales.
Acceso persistente: La puerta trasera Rekoobe, por ejemplo, podía recibir comandos, transferir datos e incluso acceder a archivos de contraseñas confidenciales. Su diseño sigiloso le permitía ocultarse a simple vista y comunicarse con servidores de comando externos a intervalos regulares.
Enlaces de comando y control: Un tráfico de red inusual reveló conexiones a dominios y direcciones IP sospechosos, indicios clásicos de que un atacante mantiene el control remoto.

La investigación detectó cinco indicios clave de que se había producido un ataque:

1. Instalación simultánea de procesos sospechosos en diferentes servidores
2. Conexiones salientes inusuales a dominios y direcciones IP maliciosos conocidos
3. Uso indebido de privilegios administrativos para el acceso continuo
4. Transmisión de información confidencial (como nombres de usuario y contraseñas) a través de canales sin protección
5. Posible aplicación de técnicas esteganográficas para la ocultación de información

Atribución
No existe una atribución definitiva ni concluyente a un origen o grupo en particular; sin embargo, se observaron herramientas como PupyRat en ciberataques asociados con Earth Berberoka (también conocido como GamblingPuppet o DiceyF). Se cree que este grupo tiene vínculos con personas de habla china y ha estado activo desde principios de 2022. Sus operaciones se dirigen principalmente a sitios web de juegos de azar y casinos en línea, especialmente en China y el Sudeste Asiático[i].

Además, el análisis reveló que varios archivos inicialmente codificados en ASCII presentaban caracteres chinos al procesarse con codificación Unicode, y la traducción de estos caracteres posteriormente reveló información oculta. Este método se emplea comúnmente para evadir la detección.

Recomendaciones: Cómo recuperarse y desarrollar resiliencia
Indicadores de una vulnerabilidad
Sin dejar piedra sin remover
Responder y recuperarse de una brecha de seguridad abarca más que la restauración de las operaciones normales; representa una oportunidad para fortalecer la resiliencia organizacional. Nuestras recomendaciones de ciberseguridad a prueba de balas:

Mejor segmentación de la red: Divida las redes en zonas seguras para limitar la distancia de penetración de los atacantes.
Protección y monitorización avanzada de endpoints: Emplee soluciones de seguridad de última generación para identificar y supervisar amenazas potenciales, y utilice reglas de detección para mejorar las capacidades de detección, reduciendo la probabilidad de evasión por parte de actores maliciosos.

Evaluaciones de seguridad periódicas: No espere a que surjan problemas; realice evaluaciones frecuentes de su postura de seguridad para identificar y remediar proactivamente los riesgos emergentes. Además de los análisis de vulnerabilidades y las pruebas de penetración rutinarias, es recomendable validar los controles de seguridad mediante ejercicios de equipos rojos que emulen escenarios de ataque reales.

Restringir privilegios administrativos: Otorgue acceso exclusivo a quienes realmente lo necesiten y revise los permisos de acceso periódicamente.

Respuesta a incidentes: Fortalezca las capacidades de respuesta a incidentes de su organización evaluando la madurez de los procedimientos actuales, desarrollando planes y manuales integrales, y realizando simulacros de forma rutinaria para evaluar y mejorar su eficacia.

Conclusiones para todos
Este caso no es único. Los ciberatacantes evolucionan constantemente y utilizan tanto nuevo malware como herramientas legítimas del sistema para evadir las defensas tradicionales. Si bien la tecnología ayuda, la clave para la resiliencia en ciberseguridad reside en una cultura de vigilancia, pruebas periódicas y la preparación para responder rápidamente cuando se detecten anomalías (no si se detectan).

Los ataques de denegación de servicio distribuido (DDoS) pueden saturar los sistemas de los casinos con tráfico excesivo, lo que provoca interrupciones del servicio que interrumpen las operaciones de juego y causan pérdidas significativas de ingresos, especialmente durante las horas punta. Además de esta amenaza, las amenazas internas representan un grave riesgo, ya que los empleados o contratistas con acceso a sistemas sensibles pueden comprometer la seguridad, ya sea de forma inadvertida o deliberada, lo que provoca fugas de datos. Estas situaciones ilustran varias vulnerabilidades potenciales donde los datos pueden estar en riesgo.

Con la gran cantidad de datos personales y financieros que los casinos recopilan de sus jugadores, con esfuerzos clave para mejorar las iniciativas KYC, son objetivos prioritarios para las filtraciones de datos. Un ataque podría exponer información confidencial, lo que puede provocar el robo de identidad y la pérdida de confianza de los jugadores.

Incluso con un código y sistemas bien diseñados, el panorama de amenazas está en constante cambio. La monitorización proactiva, los sólidos planes de respuesta a incidentes, la formación interna en ciberseguridad y una buena dosis de escepticismo ante cualquier situación inusual pueden marcar la diferencia.

Reflexiones finales
La industria del juego en línea y del juego presencial es cada vez más blanco de ciberdelincuentes. Para abordar estos riesgos, se anima a los operadores a implementar protocolos de seguridad sólidos, invertir en tecnologías defensivas avanzadas y colaborar con otros actores del sector para compartir información sobre amenazas en tiempo real. Los operadores deben mantenerse alerta e invertir en medidas robustas de ciberseguridad para protegerse contra estas amenazas en constante evolución. Un enfoque proactivo puede ayudar a fortalecer la seguridad de la plataforma, proteger los datos y fondos de los jugadores y mantener su confianza.