Roblox ya no es cosa de niños: es un mercado en el que se roban juegos por millones.
Estafadores engañan a desarrolladores de Roblox mediante entrevistas de trabajo falsas.
Ahora los atacantes ya no persiguen solo los objetos raros de los jugadores de Roblox, sino también proyectos enteros que los desarrolladores habían mantenido durante años y de los que obtenían ingresos.
Varios creadores de juegos contaron que perdieron el control de sus cuentas, grupos y proyectos dentro de Roblox después de ataques a través de ofertas de trabajo falsas. En varios casos, según los afectados, el soporte de la plataforma no ayudó a recuperar los juegos hasta que los periodistas contactaron a Roblox en busca de comentarios.
Uno de esos casos ocurrió con la familia de Ioannis Matziaris. Dos de sus hijos, de 20 años, crearon durante cinco años el juego The Shadow Network, alrededor del cual se reunieron más de 12 000 participantes. En abril, a uno de los hermanos, Christos, le ofrecieron un puesto de trabajo y lo convencieron de ejecutar un archivo. En lugar de una herramienta de trabajo, en su ordenador apareció un programa malicioso.
Según Matziaris, en pocas horas los atacantes tomaron control de todo el grupo de Roblox, trasladaron el juego principal a un nuevo grupo creado por ellos y robaron Robux. La familia escribió al soporte de Roblox y pidió eliminar el contenido amparándose en la ley de derechos de autor, pero no recibió respuesta. Más tarde, Matziaris declaró que los atacantes no solo roban objetos de las cuentas, sino que actúan como un grupo organizado que secuestra juegos, vuelve a publicar proyectos ajenos y atrae a desarrolladores que no sospechan nada para trabajar en mundos robados.
Para muchos autores Roblox hace tiempo que dejó de ser entretenimiento y se convirtió en un negocio. La plataforma permite crear juegos propios, ganar dinero con compras dentro del juego y construir estudios alrededor de proyectos exitosos. Algunos juegos dentro de Roblox reúnen una audiencia enorme y sus creadores ganan millones de dólares. Por eso, apoderarse de un proyecto popular puede dar a los atacantes acceso no solo a la moneda virtual, sino también a una audiencia ya formada, reputación y una fuente de ingresos.
Tras el hackeo, Roblox inicialmente negó a la familia de Matziaris la devolución del juego, alegando que no veía signos de transferencia de derechos del grupo debido a la compromisión de la cuenta. La postura de la empresa cambió cuando los medios enviaron una solicitud. Roblox dijo que estaba preocupado por el caso concreto y devolvió el juego al propietario.
La empresa también afirmó que en la plataforma funcionan mecanismos de protección, incluidos la verificación en dos pasos reforzada y el anclaje de sesiones a un dispositivo específico. Según Roblox, dichas medidas ayudan contra phishing y ataques de fuerza bruta sobre credenciales, pero no pueden eliminar por completo el riesgo cuando los atacantes convencen a los usuarios de ejecutar archivos maliciosos o código no verificado en sus dispositivos.
Otro desarrollador, Mohamed Kaparoza, se enfrentó a un esquema similar. Según dijo, lo invitaron por Discord a asumir el papel de director de proyecto y le pidieron instalar el paquete de Python llamado robase, presentándolo como parte de las herramientas de trabajo. Poco después de la instalación, Kaparoza fue expulsado de su cuenta de Roblox en el ordenador y en el teléfono, y alrededor de ese momento su Discord también fue hackeado. Luego los atacantes cambiaron la verificación en dos pasos y la llave de acceso, y entregaron el juego y el grupo a otro usuario. El desarrollador dijo que no recibió notificaciones de inicio de sesión desde un nuevo dispositivo o desde un lugar diferente.
Otro afectado, Giovan Rai, contó que también le ofrecieron el puesto de director de proyecto y le pidieron ejecutar un archivo. En esta ocasión los atacantes se hacían pasar por Cheesy Studios y afirmaban que trabajaban en The Shadow Network, el mismo juego de los hermanos Matziaris. Tras ejecutar el archivo, Rai perdió el control de su juego Overcoding Overseers.
Según Rai, el proyecto generaba alrededor de 10 000 Robux al día, reunía hasta 1100 jugadores simultáneos y era su única fuente de ingresos. El propio desarrollador dijo que tiene 15 años y que creó el juego por sí mismo. Durante más de 30 días intentó obtener ayuda del soporte de Roblox, pero el proyecto fue devuelto solo después de que especialistas contactaran a la empresa.
Roblox, en respuesta a preguntas sobre los casos de Kaparoza y Rai, declaró que el servicio de soporte revisa todas las solicitudes y restaura la propiedad si puede confirmar la legitimidad de la reclamación. Las historias de los afectados muestran que para los creadores de juegos en la plataforma la principal amenaza ya no es solo las contraseñas comprometidas, sino también los ataques basados en la confianza, ofertas de trabajo y la costumbre de ejecutar herramientas que parecen formar parte del proceso normal de desarrollo.