Cómo atacan los ciberdelincuentes a los jugadores de WoW

Cómo buscan los atacantes las cuentas de World of Warcraft en Battle.net con el fin de obtener contenido valioso.

Las cuentas en Battle.net resultan muy valiosas para los atacantes, ya que pueden utilizarlas para obtener acceso a los juegos comprados, así como a los personajes, los artículos y el dinero de los juegos. No obstante, si un jugador ha configurado correctamente su cuenta, podrá recuperar el control y restaurar la cantidad virtual robada con ayuda de la asistencia técnica.

Sin embargo, los atacantes todavía pueden causar muchos inconvenientes, así que es mejor actuar ahora y evitar el ataque. Con este fin, te contaré lo que aprendí cuando intentaron hackear mi cuenta de Battle.net mediante phishing dentro del propio World of Warcraft Classic (WoW).

La estrategia de robo de la cuenta “Bizzard”

El phishing ya era un problema bastante común en la versión original de WoW. Sin embargo, no tuve problemas con eso en el recientemente lanzado World of Warcraft Classic; al menos hasta que un guerrero llamado “Bizzard” me envió un mensaje: “[Blizzard Entertainment] GM: Violación: exploit económico. Por favor, visita: [www.blizzardwarcraft.com]. Si no, suspenderemos tu cuenta.”

Mensaje de phishing dentro del propio World of Warcraft Classic

Me quedo corto si digo que había algo sospechoso en este mensaje. Para empezar, es difícil creer que un verdadero administrador de Blizzard Entertainment responda a dichas violaciones como “exploits económicos” mediante el nombre de un personaje que fuera similar pero no idéntico al nombre de la empresa e informara a un jugador de que tiene que visitar un sitio particular. Además, y para que conste, no cometí ninguna violación en absoluto.

Generalmente ignoro este tipo de mensajes, pero esta vez sentí curiosidad y decidí investigar sobre el funcionamiento de esta estrategia en específico. Primero, verifiqué el enlace mediante los servicios Whois y comprobé que el dominio no era uno de los pertenecientes a Blizzard (como blizzard.com, battle.net o worldofwarcraft.com). Asimismo, la falta de cualquier tipo de certificado de seguridad cuestionaba la legitimidad del sitio.

Como sospechaba, el dominio blizzardwarcraft.com que el todopoderoso Bizzard quería que visitara llevaba registrado menos de una semana. Además, los atacantes ni siquiera se esforzaron por cubrir sus huellas: el dominio había sido registrado por alguien de la provincia china de Anhui, en concreto desde la oficina de registro de Hong Kong llamada Hong Kong Domain Name Information Management Co., Ltd.

Comparación del sitio web falso de Blizzard con el legítimo

Sin embargo, el sitio de phishing parece convincente. Su apariencia es bastante similar a la página de inicio de sesión eu.battle.net, pero la etiqueta de verificación de seguridad, que tiene un formato de fuente y color incorrecto, se carga la estética. Además, las opciones de inicio de sesión con Facebook y Google no funcionan, como habrás podido imaginar. Sin embargo, casi todos los demás enlaces de la página fraudulenta llevan a sitios reales de Blizzard, eso sí, la nacionalidad no coincide: algunos son europeos, otros estadounidenses.

Decidí continuar mi investigación para ver exactamente cómo procedería el atacante con el secuestro de mi cuenta. Directamente en la página falsa, hice clic en “Crear una cuenta gratuita en Blizzard” (lo que estaba bien, ya que el enlace dirigía al sitio verdadero de Blizzard) y me registré para obtener una nueva cuenta. Ya preparado para este experimento, procedí a entregar mi cuenta recién creada y mi contraseña a los atacantes.

Después de introducir mis credenciales en la página falsa, los creadores del sitio me pidieron que los ayudara a proteger mi cuenta nueva mediante una verificación rápida. Claro que, para ello, tuve que introducir un código de verificación enviado por correo electrónico. Este código provenía de la dirección verdadera de Blizzard.

Como ya había previsto, nada más introducir mis credenciales en la página falsa, los atacantes las introdujeron en el sitio real. Pero también necesitaban un código de verificación. Blizzard envió el código a mi correo, pero los atacantes necesitaban que se lo entregara yo. Por supuesto, les seguí la corriente e introduje el código en la página falsa.

Además, por alguna razón, pidieron que contestara una pregunta secreta en la página final. La verdad es que, cuando me registré, no configuré ninguna pregunta secreta. Pero, no hay de qué preocuparse, aun así, yo estaba listo para darles una respuesta.

La “verificación de seguridad” en el sitio falso de Blizzard

Entonces me notificaron que había pasado con éxito la verificación. Como podrás esperar, al mismo tiempo alguien entraba a mi nueva cuenta (la dirección IP señalaba la ciudad alemana de Brandemburgo, pero es improbable que el atacante se haya conectado realmente desde allí; probablemente usaban un servidor proxy, una VPN u otros medios para enmascarar virtualmente su ubicación verdadera).

Primero iniciaron sesión mediante Battle.net y después a través de la interfaz web. Me imagino que esto se debe a que no encontraron ningún personaje de World of Warcraft en mi cuenta de Battle.net y decidieron verificar por segunda vez mediante la versión web.

En el sitio web real de Blizzard puedes comprobar la actividad reciente de inicio de sesión

Después de casi dos horas y media, Blizzard me envió una notificación de que mi contraseña había sido restablecida debido a actividad sospechosa. Al parecer, las defensas internas de Battle.net determinaron que alguien más había tenido acceso a mi cuenta y reaccionaron de inmediato para protegerme contra los intrusos. Como puedes ver, Blizzard hace un buen trabajo para mantener seguros a sus usuarios.

Cómo no caer en la trampa de los ataques de phishing en World of Warcraft

Es improbable que el ataque que sufrí sea el último intento de phishing en World of Warcraft Classic. Para reducir al mínimo el daño proveniente de las acciones de los intrusos, así como para hacer más seguro el juego y no sólo para ti sino también para los demás, debes tener en cuenta que:

  • En World of Warcraft, siempre aparece un icono especial junto al nombre de los administradores del juego (el “BLIZZ” aparece en azul). Si no ves el ícono, entonces no estás hablando con un administrador del juego.
  • Los exploits económicos, así como otras violaciones de las reglas del juego, siempre provocarán el bloqueo de tu cuenta. No son una razón legítima para realizar una “verificación de seguridad” de tu cuenta.
  • Es poco probable que el juego oficial te envíe un enlace mediante un recurso de terceros. Ellos cuentan ya con las herramientas necesarias para combatir las violaciones. Para confirmar que eres titular de la cuenta, todo lo que necesitan hacer es restablecer tu contraseña y echar fuera a quien sea que la esté utilizando.
  • Si un jugador te contacta con una petición de este tipo, notifica este comportamiento inadecuado en el formulario de battle.net.
  • Sigue los consejos de Blizzard para mantener tu cuenta a salvo. Todo queda explicado de una forma clara y correcta: cómo configurar una contraseña segura y la autenticación de dos factores, por qué necesitas un software de protección, por qué las actualizaciones son importantes y cómo mantener una higiene adecuada de contraseñas.

En cuanto al software de protección, te recomendamos usar una solución de seguridad que te proteja del spyware, detecte los intentos de phishing y que almacene de forma segura tus contraseñas. Nuestro Modo de juego te concede toda la protección necesaria sin sacrificar el rendimiento del juego en tu equipo.

Consejos