El robo de una cuenta suele acabar con la pérdida de una contraseña. En este caso, hackers el juego entero.
Los desarrolladores de algunos de los millones de juegos de Roblox explicaron a 404 Media que los atacantes los convencieron para que ejecutaran un único archivo. A continuación, vieron cómo su grupo, su juego y su saldo de Robux (la moneda de la plataforma) desaparecían y pasaban a la cuenta de otra persona en cuestión de horas. En varios casos, el servicio de atención al cliente de Roblox no les ayudó a recuperar los juegos hasta que un periodista llamó a la empresa para pedirle una declaración.
De la alegría a la adquisición hostil
Los ataques en Roblox solían ser oportunistas. Los «beamers» se centraban en jugadores concretos para robarles gorros raros, objetos de edición limitada y cuentas, para luego revenderlos. El patrón ha cambiado. Los nuevos objetivos son las cuentas de los desarrolladores, y el botín es el propio juego.
Ioannis Matziaris explicó a 404 Media que sus dos hijos, de 20 años, dedicaron cinco años a crear un juego de Roblox llamado «The Shadow Network». En abril, unos atacantes se pusieron en contacto con uno de ellos para ofrecerle un trabajo y le convencieron para que ejecutara un archivo concreto. Se trataba de un programa malicioso. Los atacantes se hicieron con el control del juego, de la cuenta de Roblox del grupo y de su saldo de Robux.
Otro desarrollador, Jovan Rai, recibió la misma propuesta de trabajo como gestor de proyectos. En esta ocasión, los atacantes se hacían pasar por Cheesy Studios, la empresa de los hermanos Matziaris, para dar credibilidad a la oferta. El joven de 15 años ganaba aproximadamente 10 000 Robux (unos 38 dólares) al día con su juego. Pasó más de 30 días intentando recuperarlos a través del servicio de atención al cliente de Roblox antes de que la atención de los medios ayudara a que el caso avanzara.
El malware responsable del robo
El desarrollador Mohamed Kaparoza describió cómo se llevó a cabo el ataque. Los atacantes se pusieron en contacto con él a través de Discord, le ofrecieron un puesto de gestor de proyectos y le pidieron que instalara un paquete de Python llamado «robase», que, según ellos, era una herramienta de bases de datos. Poco después de instalarlo, se le desconectó de Roblox tanto en su ordenador como en su móvil. Lo mismo ocurrió con su cuenta de Discord, y se modificaron sus ajustes de verificación en dos pasos y su clave de acceso.
Se trata de un caso de robo de tokens de sesión, más que de robo de credenciales. Una vez que un programa de robo de información se hace con una sesión de navegador autenticada, los atacantes suelen poder eludir medidas de seguridad como la autenticación de dos factores (2FA), ya que están reutilizando una sesión que ya ha sido autenticada.
La técnica en sí no es nueva. Ya informamos en enero de 2025 sobre una campaña similar dirigida a los jugadores de Roblox con ofertas para participar en pruebas beta de nuevos juegos. El «instalador» era, en realidad, un programa diseñado para robar datos, entre ellos sesiones de Discord y Steam, así como información de carteras de criptomonedas.
Qué pueden hacer los desarrolladores
Si creas juegos de Roblox, los consejos de seguridad no son nada llamativos y se centran principalmente en el comportamiento.
- Toma con precaución las ofertas de trabajo no solicitadas en Discord. Si un desconocido te pide que instales una «herramienta de base de datos», un instalador personalizado o cualquier otro archivo, no lo ejecutes.
- Los desarrolladores que necesiten probar software con el que no estén familiarizados deberían hacerlo en un entorno aislado, como una máquina virtual, en lugar de en un dispositivo en el que hayan iniciado sesión en Roblox, Discord, GitHub u otras cuentas importantes.
- Revisa con regularidad las sesiones activas de Roblox y los dispositivos en los que has iniciado sesión, y activa las funciones de «Protección mejorada» de Roblox siempre que sea posible. Aunque no detendrán el malware dedicado a robar sesiones, pueden ayudar a protegerte frente a muchas otras formas de compromiso de la cuenta.
- Si ocurre lo peor, documenta todo lo antes posible. Guarda un registro de los mensajes, las capturas de pantalla, los cambios en la cuenta y las solicitudes de asistencia para facilitar cualquier proceso de recuperación.
- Utiliza un programa de seguridad con protección en tiempo real. Malwarebytes Premium detectar y bloquear los programas de robo de información y otro tipo de malware antes de que pongan en peligro tus cuentas.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
