Un estudio realizado por Kromtech, una firma de ciberseguridad alemana, destaca que ladrones de tarjetas de crédito están utilizando juegos móviles populares como ‘Clash of Clans’, ‘Clash Royale’ o ‘Marvel Contest of Champions’ para lavar dinero.
En el caso de ‘Clash of Clans’ y ‘Clash Royale’, los jugadores pueden gastar dinero real en monedas que pueden ser oro o gemas. Ya sabemos cómo funciona: el jugador compra las monedas para adquirir productos, accesorios o ventajas dentro del juego. Sin embargo, este tipo de moneda también sirve como una manera fácil de lavado de dinero.
“Estos recursos mantienen su valor aun después de ser adquiridos, pues en muchos casos, una vez comprados, pueden canjearse. Incluso pueden transferirse de una cuenta a otra. Es por esto que los recursos recolectados o comprados y cuentas en niveles avanzados pueden revenderse, y es precisamente esta venta en mercados de terceros lo que mantiene la puerta abierta para la actividad ilícita que encontramos”.
Este extracto del estudio de Kromtech muestra el esquema que se ha venido forjando actualmente sobre ingeniosas maneras de lavar dinero. La compañía destaca que esta práctica no es nueva, pues ya se han conocido otros casos de lavado de dinero a través de aplicaciones tanto para Apple como para Android, sin embargo, el caso de los videojuegos free to play sí es algo inusual.
¿Qué encontraron?
En una auditoría de seguridad en las bases de datos MongoDB, la compañía notó una base de datos extraña, con un gran número de tarjetas de crédito e información personal. Al sospechar que no se trataba de una base de datos corporativa, que además tenía todas las características de pertenecer a ladrones de tarjetas, decidieron indagar más al respecto.
Siguiendo esta investigación, Kromtech encontró que un grupo malicioso tenía un sistema complejo automatizado utilizando aplicaciones gratis, juegos de terceros, páginas web para la reventa de recursos y Facebook para lavar dinero de las tarjetas de crédito robadas.
Según estimaciones obtenidas de la investigación, el sistema contaba con veinte mil tarjetas robadas en apenas mes y medio, desde finales de abril hasta mediados de junio de 2018.
¿Por qué es posible?
Kromtech destaca la facilidad de crear cuentas a gran escala de manera automática, pues, mencionan como ejemplo, Apple solo requiere una dirección válida de email, una contraseña, fecha de nacimiento y tres preguntas de seguridad para crear una Apple ID. La misma facilidad aplica para las cuentas de correo electrónico.
Con el proceso de creación de cuentas, los ladrones solo deben comenzar a pasar las tarjetas hasta encontrar una válida, con la que automáticamente compran juegos y recursos, que luego se publican automáticamente en páginas de reventa. Trabajan con una cartera digital para procesar las órdenes y con múltiples dispositivos Apple para distribuir en la carga.
A pesar de que las compañías desarrolladoras de estos videojuegos, como Supercell, sí cuentan con políticas que prohíben este tipo de prácticas, Kromtech considera que deben hacer más al respecto.