Recientemente, ha sido revelado un perturbador esquema de fraude que ha sacudido el panorama de la seguridad en línea, exponiendo la fragilidad de numerosos sitios web que parecían legítimos. Sin embargo, lo que agrega un tono aún más preocupante a esta situación es que los principales afectados son los niños.
Durante años, un entramado de estafas disfrazadas de ofertas tentadoras de juegos populares como Roblox y Fortnite ha operado a la vista de todos, robando información personal y engañando a los jóvenes para que descarguen aplicaciones peligrosas. En una investigación exhaustiva, se descubrió cómo esta red siniestra ha estado actuando y cómo jóvenes jugadores han caído en estas estafas.
Fraude en páginas de juegos
El estudio del investigador Zach Edwards, Director principal de insights de amenazas en Human Security, publicado en el medio WIRED, ha arrojado luz sobre un fenómeno inquietante que ha estado ocurriendo en línea durante años. Miles de sitios web, incluyendo agencias gubernamentales y respetadas instituciones educativas, han sido comprometidos por un patrón de ataque alarmante. Los ciberdelincuentes explotan las vulnerabilidades en estos sitios para cargar archivos PDF que contienen palabras clave atractivas para los usuarios.
Durante años, el investigador de seguridad ha estado rastreando estos secuestros de sitios web y estafas. Edwards afirma que el caso puede ser vinculado a las actividades de usuarios afiliados de una compañía publicitaria. La empresa registrada en EE. UU. actúa como un servicio que envía tráfico web a una variedad de anunciantes en línea, permitiendo a las personas inscribirse y utilizar sus sistemas. Sin embargo, Edwards descubrió que se comprometían docenas de dominios .gov, .org y .edu.
En el caso de las estas en webs de juegos, haciendo clic en el enlace para descargar un PDF y conseguir monedas gratuitas para el juego en línea, la víctima será redirigida a un sitio web donde se le pedirá nombre de usuario en el juego y su sistema operativo, antes de preguntarle cuántas monedas le gustaría obtener de forma gratuita. Aparecerá así un aviso emergente: «¡Último paso!». Esta «página de bloqueo» afirma que las monedas del juego gratuitas se desbloquearán si se registra en otro servicio, ingresando detalles personales o descargando una aplicación.
Investigadores en fraude publicitario destacan que, aunque este tipo de estafas ha sido conocido por un tiempo, el enfoque actual se distingue debido a su conexión con la “compañía publicitaria CPABuild” y sus afiliados. Edwards revela que todos los sitios web comprometidos, que contienen archivos PDF, están vinculados a servidores controlados por CPABuild, los cuales se utilizan para lanzar campañas publicitarias.
CPABuild, con sede en Nevada y activa desde 2016, se autodenomina una «red de bloqueo de contenido», hospedando tareas para ganar dinero al proporcionar información personal. Los afiliados, también llamados “usuarios de CPABuild”, procuran que las personas completen dichas tareas, frecuentemente mediante spam en comentarios de YouTube o páginas emergentes al final de enlaces en los PDF. Esto se denomina «coste por acción» (CPA) para anunciantes. El sitio web de CPABuild no brinda detalles sobre sus responsables y alega tener medidas antifraude y prohibiciones de actividades ilícitas en sus términos de servicio.
El sitio web afirma haber pagado más de 40 millones de dólares a los editores y tener miles de plantillas y páginas de destino. Dentro de CPABuild, existen varios niveles de usuarios. La estructura de afiliados del sitio web se muestra en una imagen en su página de inicio. Los miembros pueden ser categorizados como gerentes, diablos, demonios, magos, maestros y caballeros.
El lado oscuro de la publicidad en línea
«El fraude CPA, que incluye el costo por instalación de aplicaciones, es muy común», manifiesta Augustine Fou, un investigador independiente de ciberseguridad y fraude publicitario, quien revisó un resumen de los hallazgos de Edwards. «Especialistas como los identificados en la investigación se especializan en una categoría donde se convierten en líderes en un tipo particular de fraude», dice Fou. «Los clientes acuden a ellos por esa especialidad».
Cientos de los bloqueadores de contenido en el sitio web de CPABuild han sido capturados por Internet Archive en los últimos siete años. Una página de bloqueo llamada «tarjetas de regalo de Amazon» ofrece a las personas la oportunidad de completar una encuesta para «ganar 5.000 dólares en efectivo ahora» o «participar» para ganar 25.000 dólares.
Mientras tanto, las compañías de juegos dicen que los ejemplos de los sitios web que alojan las páginas de bloqueo no son legítimos. «Estos son estafas», advierte Jake Jones, director senior de comunicaciones de Epic Games, creador de Fortnite. «Los jugadores nunca han podido vender, regalar o intercambiar V-Bucks en el juego a otro jugador o vender artículos virtuales entre sí», señala. De manera similar, James Kay, portavoz de Roblox, aclara que está prohibido utilizar servicios de terceros para «comprar, vender, intercambiar o regalar Robux» y que las personas deben evitar «ofertas» en sitios web que prometen moneda de juego gratuita u otros artículos.
La investigación de Edwards subraya la importancia de la educación en línea y la necesidad de una cooperación más sólida entre las autoridades, las empresas y los usuarios para abordar estas estafas. Con miles de sitios web comprometidos y la seguridad de los niños en juego, se requieren medidas concretas para proteger a la sociedad de estas amenazas digitales.
En un mundo cada vez más conectado, es esencial que todos estén informados y alertas ante la creciente sofisticación de los estafadores en línea, la gran interrogante ante esta tesitura es: ¿estamos preparados para enfrentar esta batalla y proteger a nuestros jóvenes y niños de las garras de estos depredadores digitales?
