En la era digital actual, disfrutamos de un acceso sin precedentes a la información y el entretenimiento. Pero esta conectividad tiene un precio. Hay mucha gente en Internet con conocimientos y ganas de poner a prueba las defensas del casino en línea y acceder a datos sensibles o extorsionar a la empresa. ¿De dónde vienen estas amenazas? ¿Cómo evitar los daños?
Profundicemos en la ciberseguridad de los casinos y apuestas deportivas online.
¿Qué necesitan?
Hoy en día, ninguna empresa conectada de un modo u otro a Internet es inmune a los ciberataques. Mientras que los jugadores buscan un casino online bono; para los hackers, es una cuestión de beneficio sumamente potencial.
Una pequeña empresa familiar puede ser hackeada, al igual que una gran compañía internacional de juegos, pero esta última no sólo tiene fondos que los atacantes pueden robar o exigir, sino que la empresa perderá millones si se interrumpe el negocio.
Dicho esto, el dinero no es lo único que puede perderse en un hackeo. La información personal de los jugadores, de la que las empresas son responsables, podría caer en manos de los ciberdelincuentes. Cuando los hackers consiguen acceder a las cuentas de los jugadores, pueden utilizar esta información para hackear sus cuentas de correo electrónico o de redes sociales y luego chantajearlos con lo que encuentren allí, retener los datos o simplemente revenderlos a otra persona en línea.
En cualquier caso, una empresa se arriesga a sufrir un importante daño en su reputación y a perder la confianza de sus jugadores; quienes buscan seguridad y diversión, como se indica en este artículo.
¿De dónde vienen las amenazas?
Por desgracia, no faltan detractores potenciales en la red.
Los ataques no son necesariamente de naturaleza personal, y a veces no se dirigen a un sistema en particular: hay muchos hackers que simplemente exploran la red en busca de vulnerabilidades y oportunidades que puedan explotar.
En una industria tan competitiva como la del iGaming, intentar obtener una ventaja injusta sobre otro casino online o casa de apuestas tampoco es inusual. En la lucha por los jugadores, las empresas sin escrúpulos -que no dan prioridad a los contenidos de juego de calidad, no ofrecen una excelente asistencia a los jugadores o simplemente utilizan una plataforma deficiente- pueden decidir en cambio gastar su dinero en hackers e infligir daños a sus competidores.
No todos los hacks son intrínsecamente maliciosos. Existe una tendencia hacia el hacking ético o de “sombrero blanco“. Estos especialistas autónomos (a veces llamados cazadores de recompensas) encuentran fallos y vulnerabilidades en el software y los comunican a las empresas a cambio de una tarifa. A diferencia de sus homólogos criminales, estos hackers no buscan abusar de los datos y ayudan a las empresas a solucionar las vulnerabilidades antes de que sean explotadas por los atacantes.
Sin embargo, hay que tener en cuenta que la línea que separa estas dos categorías puede ser a veces muy fina. Algunos cazadores de recompensas, sin recibir la recompensa esperada, pueden aprovechar el conocimiento de sus fallos de seguridad para lanzar un ciberataque.
Tipos Comunes de Ciberataques
Ataques de escaneo de puertos
Como se ha mencionado anteriormente, los hackers siempre están buscando puntos débiles. Este proceso puede ser totalmente automatizado: simplemente sondean direcciones IP aleatorias intentando encontrar un puerto abierto o adivinar una contraseña.
En cada servidor (y en cada ordenador en general) habrá muchos servicios diferentes en funcionamiento. Para conectarse a la red, utilizan puertos, que sirven como medio de comunicación con Internet.
Mientras que algunos puertos son absolutamente esenciales (permiten el uso de funciones web y la administración remota), otros es mejor mantenerlos cerrados para todos los usuarios de la World Wide Web.
El escaneo de puertos suele ser el inicio de un ciberataque, una forma de que un hacker encuentre una vulnerabilidad que pueda utilizar para acceder a un sistema.
Para ilustrar mejor el proceso, imagina que un servidor es una cabaña en el bosque. Y el hacker es un ladrón que da vueltas alrededor de ella y tira constantemente de todas las manillas. Buscando puertas sin cerrar, y mirando debajo de cada felpudo para ver si hay una llave de repuesto escondida en alguna parte.
Y aunque te guste que los invitados se anuncien y entren por la puerta principal, no te gustaría que alguien entrara por la ventana del baño.
Cuando inicias tu servidor web por primera vez, muchos servicios se inician automáticamente con los puertos abiertos y las contraseñas establecidas por defecto, dejándote inmediatamente vulnerable. Un hacker afortunado que se tropiece con tu dirección IP durante un escaneo puede obtener rápidamente tus datos o incluso obtener acceso root. (¿Qué Podría Hacer Alguien con tu Dirección IP?)
El escaneo de puertos es muy común, pero las contramedidas también son bien conocidas. La mejor manera de mantenerse a salvo es estar atento y mantener todas las puertas cerradas.
Ataques DDoS
Un ataque de denegación de servicio distribuido (o DDoS) es una ciberamenaza extremadamente sencilla y extendida. Adopta la forma de un flujo de tráfico que pretende saturar el sistema de destino y, como resultado, ralentizar drásticamente el intercambio de datos o provocar la caída del servidor.
Los atacantes utilizan vastas redes de ordenadores infectados con malware, llamadas botnets, para llevar a cabo estos ataques. Como el tráfico no procede de una sola fuente, sino de una serie de máquinas aparentemente aleatorias, es imposible separarlo fácilmente de los usuarios reales.
Hay muchos tipos diferentes de ataques DDoS, que varían en su implementación técnica. En un sentido muy amplio, pueden clasificarse como ataques a la infraestructura y ataques a las aplicaciones.
Inyección SQL
El lenguaje de consulta estructurado (o SQL) es un lenguaje informático utilizado en la gestión de bases de datos.
Cada vez que el jugador interactúa con cualquier campo de entrada (entrada de datos o cadena de búsqueda), en el lado del servidor los datos que introduce suelen ir a alguna base de datos o petición para recuperar información.
Todo esto implica SQL, y al introducir un comando cuidadosamente elaborado, un hacker puede recuperar datos a los que no debería tener acceso.
La mayoría de las bases de datos modernas están protegidas contra la inyección SQL, que ha sido muy común en los últimos 10 años. Pero estas vulnerabilidades se producen.
Ransomware
Una de las variantes de ataque más peligrosas y destructivas, y la peor pesadilla de todo responsable de ciberseguridad. El ransomware es un tipo de software malicioso que utiliza el cifrado para hacer que los archivos de un ordenador sean completamente inaccesibles. Las técnicas utilizadas en estos ataques garantizan que los datos no puedan ser descifrados en un tiempo aceptable para la víctima. A continuación, los hackers exigen un rescate a cambio de una clave de descifrado que puede utilizarse para devolver los archivos.
El ransomware es, con mucho, el peor tipo de violación de la ciberseguridad, ya que hasta que no se descifren los datos, la plataforma estará completamente inhabilitada. Un ejemplo de lo catastróficas que pueden ser las consecuencias es el ataque de marzo de 2020 a SBTech.
El incidente ocurrió en el peor momento posible para la empresa, ya que estaba en proceso de fusión con DraftKings. La plataforma de iGaming propia de SBTech para juegos de casino y apuestas deportivas y estuvo fuera de servicio durante una semana completa.
Además de la pérdida de ingresos y el daño a la reputación, SBTech tuvo que depositar 30 millones de dólares adicionales en un fondo para hacer frente a las consecuencias del ataque, como las demandas de cientos de socios que perdieron ingresos como resultado de la interrupción.
Fraude
Aunque muchos de los hacks de esta lista parecen operaciones especiales sacadas de una película de Hollywood, también hay atacantes que simplemente intentan robar algo de dinero pirateando la funcionalidad de la plataforma disponible para los jugadores. Estos hacks incluyen desde la búsqueda de formas de obtener dinero de bonificación gratuito hasta la ingeniería inversa de la mecánica del juego para obtener los resultados deseados en el mismo.
Ingeniería social
Si se le pregunta a un experto en ciberseguridad: “¿Cuál es el eslabón más débil de cualquier sistema?“
La respuesta podría sorprenderle: es la gente.
Un error común es pensar que todo lo que hacen los hackers lo hacen sólo en Internet. En realidad, los hackers utilizan lo que se conoce como ingeniería social para inducir a error y engañar a sus víctimas para que revelen información que luego utilizarán para acceder al sistema objetivo.
La forma más sencilla de ingeniería social es una llamada telefónica o un mensaje: un hacker se disfraza de figura de autoridad en una empresa e intenta que un empleado revele su contraseña u otra información personal.
Otra táctica que es un elemento básico de la ingeniería social es la llamada manzana de la carretera o cebo. Los atacantes dejan al alcance de los empleados una unidad USB u otro medio físico infectado con malware. Si alguien siente curiosidad y se lo lleva, lo más probable es que lo utilice en un ordenador del trabajo, infectando el cual los hackers acceden fácilmente a la red.
Para comprometer un objetivo bien protegido, los hackers pueden incluso intentar entrar en la sede de una empresa. La táctica más sencilla que utilizan los delincuentes no consiste en disfrazar o fingir las credenciales: el atacante simplemente camina detrás de alguien cuando abre la puerta. En las empresas extranjeras, esta práctica se denomina “tailgating“.
Una vez dentro del edificio, los hackers utilizan trucos de manipulación y astucia: mediante habilidades de ingeniería social, burlan a los guardias de seguridad, acceden a los ordenadores e incluso roban documentos físicos.
Phishing
El phishing es una comunicación fraudulenta en Internet que se disfraza de real. Se utiliza para acceder a la información o robar datos. El phishing suele referirse a la ingeniería social porque el error humano desempeña un papel fundamental en esta estafa.
Un ataque de este tipo puede dirigirse tanto a jugadores como a personal, con objetivos y estrategias diferentes. El jugador puede recibir un correo electrónico falso que parece enviado por la empresa, pidiéndole que “confirme” información personal o datos de la tarjeta de crédito. O el correo electrónico ofrecerá una bonificación que se puede reclamar haciendo clic en un enlace a la plataforma. Excepto que el sitio web al que conduce es sólo una copia diseñada para engañar a los jugadores.
Los empleados, a su vez, pueden recibir un correo electrónico disfrazado de correo electrónico de un socio de confianza, proveedor o incluso de alguien dentro de la empresa. El correo electrónico podría contener un enlace malicioso o un archivo adjunto que sirva de ayuda para seguir pirateando.
Una táctica clásica: un atacante se hace pasar por representante de un gerente de TI o administrador de sistemas y puede pedir a un empleado desprevenido que comparta su nombre de usuario o contraseña.
Los delincuentes intentan que la falsificación sea muy parecida: el sitio web tendrá el mismo diseño que el original y también tendrá una URL similar, y el correo electrónico tendrá una dirección de correo electrónico real en el encabezado De:.
Medidas para Contrarrestar los Ataques de los Hackers
Mantener el software actualizado
Los hackers examinan constantemente el software en busca de debilidades. Los desarrolladores corrigen los errores y cierran los agujeros que pueden ser explotados para entrar en un sistema, pero es importante aplicar estos cambios para protegerse.
El infame hackeo de WannaCry ocurrido en mayo de 2017, en el que empresas de 150 países perdieron 4.000 millones de dólares, podría haberse evitado simplemente instalando una actualización, pero lamentablemente no lo hicieron.
Lo mismo ocurre con las plataformas de juego que no se toman en serio la ciberseguridad. Si los hackers descubren que algunos componentes del sistema están obsoletos, pueden encontrar qué vulnerabilidades han sido corregidas por el desarrollador en futuras versiones y utilizarlas contra el objetivo.
Además, las empresas bien protegidas tienen menos probabilidades de ser objeto de ataques. Es más barato y más fácil hackear un objetivo más fácil.
Asegurarse de que el personal está formado
Incluso los hacks más sofisticados suelen requerir que una persona haga clic en un enlace, descargue un archivo o pulse un botón. Por ello, un personal formado y consciente de las amenazas de ciberseguridad puede ser un bastión insuperable de protección.
Una víctima que conoce las técnicas y estrategias de ingeniería social es mucho más resistente y tiene menos probabilidades de ser engañada.
En el caso de otros tipos de ataques, contar con un plan integral para hacer frente a un ataque DDoS o a un pirateo informático ayudará al equipo a mitigar los daños y a hacer frente a la situación con rapidez y eficacia.
Pruebas de penetración
No es sólo un refrán que dice que Dios se ocupa de los cuidadosos. La mejor manera de asegurarse de que una plataforma de iGaming es segura es ponerla a prueba.
El pentest, o prueba de penetración, consiste en pedir a los expertos en ciberseguridad que pirateen tu sitio. Y si tienen éxito, puedes parchear las vulnerabilidades y protegerte de un verdadero ataque malicioso.
Asegurarte de que la ley está de tu lado
Hacer frente a las consecuencias de un ciberataque ya es bastante difícil, pero si no puedes contar con la ayuda de las autoridades, la situación se vuelve aún más desastrosa.
Los operadores de juegos de azar del mercado negro sin licencia son un objetivo principal para los hackers. Los hackers pueden robar datos, extorsionar y salirse con la suya, aunque estén expuestos.
En algunos casos, estos hackers son incluso sancionados por el propio gobierno.
Dos empresas israelíes de ciberseguridad, Security Joes y Profero, publicaron informes en los que afirmaban que cinco empresas que promocionaban ilegalmente sus servicios a ciudadanos chinos eran objeto de ciberataques coordinados. Según el informe, esto está relacionado con los esfuerzos del gobierno chino por reprimir a los operadores ilegales.
Utilizar tecnología segura
Especialmente cuando se trata de TI, es mejor ser exagerado que no serlo.
Tecnologías como Cloudflare pueden proteger contra los ataques DDoS dirigiendo y filtrando el tráfico a través de una red en la nube, e incluso una simple VPN puede convertirte en un objetivo más difícil. CAPTCHA es otra solución popular que ayuda a reducir el daño de los ataques DDoS ofreciendo a cada usuario una solución sencilla.
Los ataques DDoS utilizan bots, y aunque ninguna solución proporciona una protección del 100%, cada una de ellas obliga a los hackers a utilizar más bots, hacerlos más inteligentes o mantener el ataque durante más tiempo para tener éxito. Todo esto hace que el intento de ataque sea más difícil y costoso.
La mejor defensa contra la inyección SQL es cifrar las bases de datos. Estos ataques se dirigen sobre todo a empresas con infraestructuras anticuadas o deficientes, por lo que, si has invertido en seguridad, el riesgo de daños se reduce considerablemente.
Por último, asegúrate de asociarte con proveedores de soluciones que comprendan la necesidad de la ciberseguridad.
