Un “gamer” experto es capaz de hacer frente a todos los desafíos que se le presenten en cada “mapa” de Fornite o Free Fire. Desde protegerse y defenderse de ataques, hasta liquidar a todos sus oponentes. Sin embargo, ¿está preparado para enfrentar las amenazas a su privacidad como persona que puede generar su afición a los videojuegos? Y así como evita las emboscadas en una competencia, ¿podrá evitar ser víctima de una estafa online? Lo cierto es que no son solo los usuarios los blancos de los ataques de ciberdelincuentes, sino también las propias empresas propietarias de los portales de juegos. Por lo que la protección de datos en videojuegos es relevante para unos y otros.
Siendo las plataformas de videojuegos un segmento que crece exponencialmente en número de usuarios, no es extraño que muchos piratas informáticos se interesen en ellas. En este sentido, el gran reto para los propietarios y los usuarios de videojuegos es tomar todas las precauciones para evitar que los atacantes cibernéticos terminen ganando la partida.
Amenazas en contexto a la protección de datos en videojuegos
Los ataques a aplicaciones web de videojuegos tuvieron un incremento del 167% entre el primer trimestre de 2021 y el mismo período de 2022. Según la investigación que aporta este dato, millones de cuentas de gamers en todo el mundo se vieron afectadas. El mayor número de ciberataques ocurrió en Estados Unidos. Pero Suiza, India, Japón, Reino Unido y otros países de Europa y Asia le siguen en este orden.
Al día de hoy, cada vez más empresas de videojuegos migran sus operaciones a la nube, lo que resulta muy atractivo a los hackers. Con el auge de las plataformas “play to earn” (juega para ganar) y las microtransacciones en criptoactivos (NFT) que estos juegos generan, la ambición de los delincuentes informáticos aumenta. ¡Este tipo de juegos en línea creció un 2.000% en número de usuarios en el primer trimestre de 2022! De allí que los expertos en ciberseguridad alerten sobre los ataques a estas plataformas.
Mediante estas incursiones fraudulentas las cuentas de los gamers pueden caer en manos de los ciberdelincuentes. En consecuencia, ocurren ventas de cuentas de juego y el robo de datos personales, incluyendo información financiera. Para evitar estas situaciones, tomar medidas contundentes para la protección de datos en videojuegos es crítico.
Según estimaciones, el mercado de las microtransacciones llegará a los 106.020 millones de dólares en 2026. Por tal razón, los ciberdelincuentes estarían atentos ante las oportunidades que esto supone para sacar más provecho de sus acciones. Entonces, no es casualidad que el sector de videojuegos sea actualmente el objetivo del 37% de todos los ataques de denegación de acceso DDoS. Un dato que llama poderosamente la atención, siendo que el segundo sector más atacado es el financiero (22%).
La vieja trampa del pishing
En mayo de 2022, se dio a conocer un singular ataque de pishing entre comunidades de jugadores de diferentes plataformas “play to earn”. Entre ellas, Memeland de 9GAG, Proof/Moonbirds y Axie Infinity. El estafador difundió mediante Discord un enlace falso de un sitio oficial que ofrecía la obtención de un nuevo NFT (token no fungible) gratis. Discord es una plataforma de mensajería y VoIP muy popular entre los gamers. El caso es que los interesados “solo” debían cubrir las comisiones (“gas” entre los usuarios de estas plataformas).
Por increíble que parezca, muchos usuarios hicieron clic en el enlace que los llevó a una plataforma para aprobar el pago de la tarifa de “gas”. Lo que no sabían es que, al hacerlo, aprobaron también la transferencia de sus NFT a la wallet del estafador. Con lo que el ciberdelincuente logró robar activos valorados en varios millones de dólares.
Aunque el robo no ocurrió por intrusión en las plataformas de juego, sí comprometió al canal de comunicación (Discord). El mensaje de pishing aparecía como verificado por la aplicación porque el estafador “hackeó” el bot Mee6 de Discord para añadir permisos de publicación a su cuenta falsa. Así, pudo difundir sus mensajes fraudulentos en canales públicos.
Sin restar responsabilidad a Discord, los usuarios afectados debieron poner en práctica una norma básica para la protección de datos en videojuegos y otras aplicaciones. Esta es: no hacer caso a mensajes de correos o publicaciones en redes sociales con ofertas o instrucciones sospechosas. Menos aún, hacer clic en los enlaces incluidos en estos mensajes.
Protección de datos en videojuegos, ¿una defensa ante intereses geopolíticos?
¡Tal como lo lees! Una efectiva protección de datos en videojuegos podría terminar siendo un mecanismo defensivo ante amenazas extranjeras. Si crees que exageramos, solo debemos recordarte una acción reciente del grupo de ciberdelincuentes Lazarus, patrocinado por el cuestionado gobierno de Corea del Norte. Nada menos que el robo de 625 millones de dólares en criptomonedas de Ronin Network, cadena basada en Ethereum, creada para el juego Axie Infinity. Por si fuera poco, Lazarus es sospechoso de estar vinculado a los ataques de ransomware WannaCry de 2017. También se sospecha que los criptoactivos espoleados por el grupo sirven para financiar programas norcoreanos de elaboración de armas nucleares y misiles balísticos.
Retos de la protección de datos en videojuegos
En base a lo anteriormente expuesto, podemos concluir que los retos de la protección de datos en videojuegos son compartidos entre los desarrolladores/responsables de las plataformas de juegos y los usuarios. Por un lado, los videojuegos con servidores en el ámbito de la UE, necesariamente deben regirse por las disposiciones del RGPD. En particular, deben hacer énfasis en las siguientes disposiciones:
- Sobre el consentimiento para el tratamiento de datos de menores de edad, la desarrolladora del videojuego o publisher deben verificar que dicho consentimiento cumple lo dispuesto en el artículo 8. Es decir, si cuenta con la autorización de quienes ejerzan la patria potestad o la tutela de menores de 16 años. Los Estados Miembros pueden establecer un límite inferior, siempre que no sea menor a 13 años.
- Seguridad del tratamiento. El desarrollador o responsable en la Región deberá implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales de sus usuarios. Estas medidas deben ser acordes al nivel de riesgo que implique el tratamiento de datos. Esto incluye evaluar constantemente dichos niveles de riesgo y la eficacia de las soluciones y medidas de ciberseguridad (Artículo 32). Por ejemplo, es preciso revisar el certificado SLL si la plataforma ofrece transacciones económicas.
Razones de peso y responsabilidad compartida
Al respecto, es un hecho que la cantidad de gamers menores de edad es exorbitante. Lo preocupante es que los jóvenes tienden a tomarse a la ligera el tema de la seguridad digital y sus descuidos los hace muy vulnerables a los ataques de pishing y otras incursiones fraudulentas.
Asimismo, debemos tener en cuenta el interés del gamer en escalar hacia niveles de juego más altos. A medida que lo hace, genera un considerable y sostenido movimiento económico. Para ello, buscará mejorar su hardware y conexión. Posteriormente, adquirirá propiedades y recursos más avanzados para incrementar las capacidades de su avatar. En paralelo, reunirá una serie de activos virtuales que pueden tener tanto valor monetario como emocional. Más allá de cumplir con la legislación, es imprescindible que las plataformas gaming entiendan las consecuencias que una falla de protección de datos en videojuegos puede tener en la experiencia de sus usuarios.
Ya dijimos que los gamers también tienen responsabilidad compartida con la protección de sus datos personales. En este link encontrarás recomendaciones para evitar la suplantación de identidad en la red.
¿Requieres asesoría legal en protección de datos para tu plataforma gaming?
En España, existe una prometedora industria de desarrollo de videojuegos, que ocupa el cuarto lugar en Europa y el noveno a nivel global. Incluso, cuenta con su propio gremio, la Asociación española de empresas productoras y desarrolladoras de videojuegos (DEV). Si estás entre este grupo de programadores y estás creando o ya creaste una plataforma gaming, en Legal Veritas te ayudamos a adaptarla para cumplir lo dispuesto en el RGPD, la LOPD-GDD y otros importantes instrumentos legales.
Asegurando la protección de datos en videojuegos, garantizas a tus usuarios una experiencia gaming legal y satisfactoria.
Deja una respuesta