Si los hackers pueden estafar a las empresas de apuestas, imagina lo que te pueden hacer a ti

En lugares donde se maneja mucho dinero, véanse bancos o casinos online, el riesgo de un ciberataque se multiplica: no solo el botín puede ser muy atractivo, en dinero contante y sonante, sino que los datos de los usuarios que generalmente lo manejan, también son especialmente interesantes para los malhechores.

Quizás por estas razones, haya un auge importante de apps gratuitas para el móvil cuyo único negocio aparente son los ingresos por publicidad. En ellas se nos ‘bombardea’ con anuncios que derivan a aplicaciones para, supuestamente, ganar mucho dinero sin ningún esfuerzo. Algunos de estos anuncios remiten a apps de trading, otras a casinos online o a juegos de apuestas con los que ganar ingentes cantidades de dinero con algo tan fácil como un tres en raya. Sin embargo, estas apps suelen ser el lugar ideal para que los hackers cuelen sus ataques de DDoS, en el mejor de los casos, y de Gnoming, Spoofing o inyecciones de malware en las situaciones más graves.

Numerosos ataques a casas de apuestas

En este último caso, de juego online y casinos digitales, la ciberseguridad es fundamental. Si bien es cierto que casi siempre se piensa en lo que el usuario puede perder -fraude, manipulación de las apuestas o robo efectivo- lo cierto es que las empresas de este sector son también especialmente vulnerables. “Hay dinero en juego, nunca mejor dicho, y por tanto, también habrá muchos ojos, mentes y herramientas intentando conseguirlo de manera lícita o ilícita, y estos negocios online suelen ser objeto de este tipo de ataques de manera mucho más habitual de lo que podamos pensar”, explica Hervé Lambert Global Consumer Operations Manager de Panda Security.

A principios de este mismo año, la propia casa de apuestas y casino online Codere comunicó haber sufrido un ciberataque en el que les sustrajeron 774.000€. No ha sido la primera. Otras como Pokerstars, 888poker, Winamax o PartyPoker han experimentado también asaltos, la mayoría de ellos más relacionados con ataques DDoS -desconexiones causadas por sobrecarga del servicio que interrumpen el servicio, molestan a los jugadores, causan reclamaciones millonarias y crean desconfianza-.

Se trata de un negocio, por supuesto, legal y regulado por la Dirección General de Ordenación del Juego (DGOJ), que también gestiona y concede licencias también tanto a las organizaciones locales como a las organizaciones internacionales. Y a medida que la cuota de mercado crece -se calcula que el sector del iGaming generará una tasa de ingresos internacional de casi 93.000 millones de dólares este 2023-, se hace más y más atractivo para los malhechores.

Aunque casi siempre se piensa en lo que el usuario puede perder -fraude, manipulación de las apuestas o robo efectivo- lo cierto es que las empresas de este sector son también especialmente vulnerables. “Hay dinero en juego, nunca mejor dicho, y por tanto, también habrá muchos ojos, mentes y herramientas intentando conseguirlo de manera lícita o ilícita”, explica Hervé Lambert Global Consumer Operations Manager de Panda Security.

Tipos de ataques a las empresas de apuestas online

Podríamos diferenciar entre dos tipos fundamentales de riesgos a los que se enfrentan las empresas de juego online. Por un lado estarían las estafas por parte de un solo usuario -un jugador que busca ‘timar’ a la plataforma utilizando multicuentas o suplantando identidades- o de grupos organizados a gran escala con la intención de influir en el juego o las apuestas en su propio beneficio. Por el otro, los ataques de hacking a los sistemas de la empresa con el objetivo de ‘tumbar el servicio’ y chantajearla o bien de robar códigos y datos personales.

“Nos guste o no reconocerlo, los ciberdelincuentes son cada vez más profesionales. Esto significa que pueden prácticamente llegar a funcionar como una empresa, con su jerarquía y sus ingenieros informáticos dedicados en cuerpo y alma a investigar e innovar acerca de nuevos desarrollos tecnológicos, fallos en la configuración o defectos de los sistemas. Y no descartemos a los empleados o ex empleados descontentos, con un profundo conocimiento del funcionamiento interno del negocio”, explica Lambert.

Veamos cuáles son los tipos de ataques a empresas del sector de juegos online más frecuentes
<

Gnoming

Un ataque específico de las empresas de juego online que consiste en crear una multitud de cuentas falsas para influir en el juego -ganando, perdiendo, subiendo o bajando las apuestas, etc.- y conseguir que otra cuenta, aparentemente legítima, gane de manera fraudulenta. El Chip dumping es una variante de este sistema que suele darse más específicamente en las mesas de poker.
Software espía
Mediante la utilización de software o hardware que puede registrar las pulsaciones de los usuarios para averiguar sus contraseñas y entrar de ese modo en el sistema.

Agujeros de seguridad

Cuando el software o firmware tienen agujeros de seguridad, los atacantes pueden detectarlos y utilizarlos para acceder al sistema y realizar lo que se conoce como Denegación de Servicio (DoS) o Denegación de servicio distribuida (DDoS). Se trata, en definitiva, de conseguir que el servidor deje de funcionar provocando la interrupción del servicio. El fin suele ser chantajear a la compañía.

Spoofing

El hackeo a una cuenta legítima de la empresa (puede ser de un directivo o de cualquier otro trabajador) no sólo da acceso a los atacantes a los sistemas y archivos internos, sino que les permite realizar acciones como la emisión de facturas falsas, las comunicaciones internas, los cambios en los términos y condiciones, etc.

Phishing

No por conocido es menos recurrente y dañino. Mensajes de aspecto legítimo enviados a discreción para redirigir a los usuarios a sitios fraudulentos y poder captar sus credenciales y robarles a título particular o bien, como apuntábamos, acceder a la empresa de manera supuestamente legal.
Ataques de inyección SQL
Los atacantes pueden acceder al sistema a través de la captación de las credenciales de los usuarios o de cualquier otra información del servidor y, una vez dentro, manipular, extraer o destrozar los sistemas.

Un mazazo para la reputación

Un ciberataque contra una empresa de juego online le supone un importante problema de reputación: a la desconfianza del usuario se suman las dudas sobre si su dinero estará seguro en próximas ocasiones, y puede suponer una desbandada de clientes hacia otras plataformas de la competencia, una oleada de malas valoraciones y hasta pérdida de patrocinadores.

Pero por supuesto, el perjuicio económico suele ser el problema más inmediato. Además del posible robo directo a las arcas de la compañía -la banca pierde, en este caso-, la compañía tendrá el deber de indemnizar a los usuarios que puedan haber sufrido la caída del servicio o incidencias directas. Y a todo ello se suma el precioso tiempo y recursos, tanto de personal como de nuevos dispositivos y sistemas, que han de dedicarse a la investigación, parcheado, resolución y restablecimiento del servicio posterior.

Todo ello sin contar en posibles multas por filtraciones de datos personales, descubiertos o mala praxis en que se podría haber incurrido.

Un ciberataque contra una empresa de juego online le supone un importante problema de reputación: a la desconfianza del usuario se suman las dudas sobre si su dinero estará seguro en próximas ocasiones, y puede suponer una desbandada de clientes hacia otras plataformas de la competencia, una oleada de malas valoraciones y hasta pérdida de patrocinadores

Protección del site para proteger a los usuarios

Además de la vigilancia y los protocolos de seguridad, ya sea física o cibernética (no olvidemos los ataques contra los servidores, en caso de conocerse su ubicación), las compañías de juego online deben permanecer completa y constantemente actualizadas. El ciberexperto de Panda Security señala algunos de los pasos que no deben pasarse por alto:

  • Auditoría constante de los sistemas en busca de posibles actualizaciones, agujeros de seguridad o posibles fallos no maliciosos del sistema pero que pueden resultar una puerta de entrada para los atacantes.
  • Sistemas de autenticación biométrica, siempre que sea posible, y en dos pasos al menos para cualquier acceso al sistema. Establecer protocolos de actualización de contraseñas de cara a los usuarios de manera frecuente.
  • Protección de las comunicaciones y redes, que muchas veces pueden ser el eslabón más desatendido y por tanto uno de los objetivos de los atacantes.
  • Monitorización constante de todo lo que sucede dentro de nuestro servidor y, en su caso, nuestra nube. Sistemas de alertas para accesos no autorizados, actividad sospechosa o amenazas exteriores que pudieran afectarnos.