Con una propuesta innovadora que propone cambiar la economía mundial a través de los juegos, Axie Infinity es un videojuego “play to earn” basado en blockchain que fue lanzado a comienzos de 2018 y que en el último tiempo experimentó un crecimiento importante a nivel mundial, principalmente por la explosión de los tokens no fungibles, conocidos como NFT, que son unidades de datos no intercambiables que se almacenan en el blockchain y que permiten convertir ítems digitales en únicos e irrepetibles, cuya propiedad puede demostrarse, transformándolos en elementos de valor que pueden comercializarse.

En el contexto de Axie Infinity esto contribuyó al gran crecimiento que tuvo el juego, ya que se basa en NFT que pueden comprarse y venderse y que permite a los jugadores ganar dinero, y cuando digo ganar dinero me refiero a dinero real, no solo monedas que no se pueden retirar del juego. Pero como siempre sucede, toda tecnología o actividad digital que atraiga una gran masa de usuarios viene acompañada de ciberdelincuentes dispuestos a llevar adelante sus estrategias de ingeniería social para quedarse con credenciales de acceso y dinero.

Para comprender un poco más todo esto es importante tener presente que el modelo económico se apoya principalmente en la estructura base que presenta el juego, ya que, al menos hasta la fecha de creación de este artículo, para poder jugar Axie Infinity es necesario obtener tres personajes llamados Axies directamente vinculados a la cuenta del usuario. Y eso al día de hoy implica invertir más de 400 dólares. Asimismo, los jugadores pueden subir el nivel de sus personajes y luego comercializarlos para obtener ingresos a cambio.

Con esto en mente y debido a que fue adoptado por una gran masa de usuarios que no necesariamente pertenecen a la comunidad gamer, me pregunté si los procesos que rodean al juego y sus estructuras son lo suficientemente seguros y me dispuse a informarme sobre el tema. Por eso, en este artículo comparto los resultados de esta búsqueda y destaco algunos aspectos de seguridad alrededor de Axie Infinity y las formas de minimizar los riesgos de aquellos usuarios que decidan comenzar a jugar.

Criptoactivos en Axie Infinity

Solo basta con realizar una búsqueda rápida en Internet sobre el juego para encontrar informes de personas que obtuvieron retornos financieros importantes jugando Axie Infinity, por lo que me pareció interesante comenzar con este tema. Por poner un ejemplo, un joven de 22 años en Filipinas compró dos casas con el dinero que obtuvo jugando a Axie Infinity.

Hay una serie de criptoactivos presentes en el juego. Los principales son los personajes que se utilizan para jugar, que como ya explicamos requieren que invirtamos dinero real para conseguirlos, y dos monedas que se pueden obtener en el juego: el SLP y el AXS .

Axies: los personajes

Los personajes en el juego son unos monstruos llamados Axies y pueden pertenecer a nueve tipos de clases. Estos Axies son tokens NFT vendidos dentro del marketplace del propio juego y su precio varía de acuerdo con una serie de factores, como pueden ser las habilidades que tiene el monstruo, cuántas veces ya se ha reproducido (sí, es posible hacer que los pequeños monstruos se reproduzcan), y qué tan “puro” es. La pureza está relacionada con la cantidad de mutaciones con otras clases de Axie que tiene en su composición.

SLP | Smooth Love Potion

El SLP es la moneda más común del juego. Es posible obtenerla en batallas con otros jugadores o pasando los niveles del modo aventura. SLP es un criptoactivo y también se puede negociar fuera del juego.

AXS | Axie Infinity Shard

AXS también es un criptoactivo que se puede obtener en el juego, sin embargo, es mucho más raro. Los AXS valen mucho más que los SLP y se otorgan como premios a los primeros 300 en la clasificación mundial del juego al final de cada temporada. Así, como en cualquier sistema de premios, cuanto más alto esté el usuario en el ranking mayor será la recompensa obtenida dentro del juego, pudiendo llegar a 500.000 AXS en el caso del primer puesto. Al igual que los criptoactivos anteriores, también se puede intercambiar fuera del juego.

Riesgos financieros y de seguridad

A pesar de ser algo que está indirectamente relacionado con la seguridad, el riesgo más obvio para mí en este contexto es que todo gira en torno a los criptoactivos y que estos pueden fluctuar tanto como las criptomonedas más conocidas, como el Bitcoin, por ejemplo.

Como el juego requiere que tengas al menos tres Axies para comenzar a jugar y el Axie más barato al día de hoy -luego de una caída en el último tiempo- está por encima de los 140 dólares (0.04 Ethereum), es importante tener en cuenta que puede haber una devaluación repentina de los criptoactivos relacionados con el juego y que la cantidad invertida para comenzar a jugar caiga fuertemente.

Y en cuanto a los riesgos de seguridad, como dijimos al inicio y como veremos más adelante en este artículo, a medida que un juego o servicio recibe mucha atención y encima circulan importantes cantidades de dinero si pensamos en todos los criptoactivos presentes aquí, es lógico pensar que los cibercriminales se sientan atraídos y busquen llevar adelante todo tipo de fraudes y estafas para obtener parte de ese dinero.

Imagen 1. Logos de los servicios en los que hay que tener una cuenta para jugar a Axie Infinity.

Esta cantidad de cuentas es requisito para poder transferir las cantidades necesarias para la compra de Axies. Sin embargo, una vez que todo está preparado, el acceso al juego se vuelve muy sencillo y se puede hacer a través de un correo electrónico y contraseña que se registran previamente.

Riesgos relacionados a las cuentas

Como se trata de billeteras digitales, los riesgos asociados con las cuentas de Binance, Metamask y Ronin Wallet son muy relevantes. Si alguien tiene acceso a ellas, tendrá control sobre el dinero en estas cuentas y podrá usarlo como mejor le parezca. La cantidad de cuentas implica una mayor superficie de ataque, lo que aumenta las posibilidades de los criminales para dirigir sus engaños.

Por ejemplo, el juego tiene un vínculo muy estrecho con la billetera de Ronin, y esto puede permitir que los delincuentes también tengan acceso a los Axies que ya se han comprado en esa billetera.

Con eso en mente, los delincuentes centrarán sus esfuerzos en comprometer las cuentas de los usuarios en estas plataformas, por ejemplo, mediante aplicaciones falsas que se hacen pasar por legítimas. Esto ocurrió con una aplicación falsa de Ronin Wallet que estuvo disponible para su descarga en la Playstore, tal como se observa en la imagen a continuación.

Imagen 2. Aplicación falsa de Ronin Wallet que estaba disponible en Playstore.

La aplicación simula ser la app de billetera oficial utilizada por el juego y busca robar información y el dinero a las víctimas.

Al revisar brevemente la descripción de la aplicación observamos que tiene una calificación muy baja y que los propios usuarios informan en los comentarios que es una aplicación falsa. Otro detalle que vale la pena destacar es que a pesar de su apariencia convincente, la información de contacto de la aplicación se refiere a un dominio .org, cuando el dominio real de la compañía es un . com.

Imagen 3. Comentarios de usuarios sobre la aplicación falsa.

Vale la pena recordar que Axie Infinity se distribuye solamente en PC y Mac, por lo tanto no hay versión para móviles. En el sitio web oficial de Sky Mavis, creador de Ronin Wallet, la compañía informa que el software para dispositivos móviles se lanzará próximamente.

Imagen 4. Sitio web oficial de Sky Mavis anuncia que la app para móviles estará disponible próximamente.

En los comentarios de la extensión para Google Chrome de Ronin Wallet algunos usuarios afirman haber perdido el control de sus cuentas y que robaron sus axies. Aparentemente, los usuarios habían descargado una app de Ronin Wallet que era falsa.

Imagen 5. Usuarios afirman haber sufrido el secuestro de sus cuentas y el robo de sus criptoactivos.

Phishing

El phishing es otra gran amenaza que atenta contra los jugadores de Axie y es una de las formas más utilizadas por criminales que crean sitios falsos que suplantan el sitio oficial para engañarlos y obtener información personal, como la frase semilla o seed phrase para Ronin Wallet, o suplantando la identidad de algún otro servicio como Metamask, por poner un ejemplo. Estos engaños pueden circular a través de plataformas como Discord, por poner un ejemplo, donde los delincuentes se hacen pasar por canales legítimos, a través de anuncios de Google que dirigen a sitios falsos, o a través de redes sociales.

Imagen 6. Falso sitio que simula ser el market place de Axie Infinity y busca robar credenciales de acceso

Otros ejemplos de ataques de phishing dirigidos a usuarios de Axie Infinity:

Becas

Para aquellos que no han oído hablar de las becas en Axie Infinity, lo explicaré brevemente. Como mencioné antes, para jugar Axie Infinity necesitas al menos tres Axies, lo que implica actualmente más de 400 dólares. Esta inversión hace que el acceso al juego sea inviable para la mayoría de las personas, por lo que los inversores con más dinero crearon becas, que es un sistema de alquiler de cuentas en el que el propietario pone el dinero y la persona que alquila entra durante un tiempo disponible para jugar y obtener los SLP de forma diaria. Luego, dividen las ganancias.

Me pareció interesante incluir este tema en el artículo, ya que es una de las formas de llegar a los propietarios de las cuentas en caso de que se haga algo de manera inapropiada.

Riesgos del ambiente en línea

Los juegos en línea conviven con ciberdelincuentes que buscan sacar provecho. En el caso de las becas puede ocurrir que el administrador de la cuenta (propietario de los axies) comparta más información de la necesaria al jugador que alquila su cuenta y esto supone un riesgo.

Si el administrador da acceso a la billetera Ronin a la que están vinculados los axies, el inquilino puede robar los axies y otros criptoactivos que estén vinculados a esa cuenta sin mayores dificultades, por lo que es necesario que el administrador estudie adecuadamente cómo se puede realizar este proceso de forma segura.

Pero los riesgos no solo están para quienes ofrecen las becas. He observado en algunos países que usuarios interesados en ser seleccionados para una beca comparten en redes sociales más información de la que deberían, ya que en su afán de obtener una oportunidad divulgan información personal de manera pública, lo que los hace blancos fáciles para estafadores. Algunos casos incluso menores de edad.

Imagen 7. Usuarios interesados en ser seleccionado para una beca comparten información personal de forma pública en un grupo de Facebook

Cómo estar protegido

Primero que nada, tal como explican en la cuenta oficial de Axie Infinity en Reddit, tener claro que nadie está ofreciendo Axies ni SLP de manera gratuita. Si ves algo así, seguramente se trata de un engaño. Por otro lado, nadie de soporte técnico de Axie Infinity te contactará para ayudarte con problemas que hayas reportado públicamente.

Tener cuidado con cualquier herramienta que requiera que ingreses las credenciales de acceso de tu Ronin Wallet o que compartas tu seed phrase. En caso de entregar esta información el estafador tendrá acceso a tu billetera y podrá vaciarla por completo.

Otras recomendaciones que me parecen importante compartir pueden también aplicarse más allá de Axie Infinity y ser de utilidad en otros escenarios de la vida digital. Por ejemplo:

  • Habilite la autenticación en dos pasos, también conocido como doble factor de autenticación o 2FA: cuando se trata de criptomonedas, es común que los Exchange, como Binance, ofrezcan de forma nativa la posibilidad de implementar el doble factor de autenticación. Esto proporciona una capa de seguridad adicional que minimiza el riesgo de que alguien acceda indebidamente a nuestras cuentas. Entre las opciones de autenticación más habituales tenemos la posibilidad de recibir tokens de acceso por correo electrónico, SMS o apps como Google Authenticator, y lo mejor es que algunos servicios permiten utilizarlos de forma simultánea.
  • Utilice un administrador de contraseñas para almacenar sus claves en una bóveda de seguridad: idealmente, las contraseñas deben ser largas y complejas para aumentar la dificultad en caso de que atacantes intenten descifrarlas mediante alguna técnica. Para reducir el riesgo de olvidar o perder las contraseñas, un administrador será de gran ayuda, ya que con solo recordar una contraseña maestra podrá acceder a todas las claves almacenadas para los distintos servicios. Algunos administradores incluso ofrecen la posibilidad de crear contraseñas seguras y únicas para que no tenga que pensarlas.
  • Use contraseñas únicas en TODAS las cuentas: nunca repita una contraseña en ningún tipo de servicio, especialmente en juegos. Si la contraseña de las billeteras de Ronin y Metamask es la misma que la contraseña del juego, y alguien logra acceso a una de estas cuentas, automáticamente tendrá acceso a las demás y a los criptoactivos vinculados a las mismas.
  • Busque información de fuentes oficiales: independientemente de si se trata de un juego o servicio nuevo, siempre debes buscar información de fuentes confiables para saber qué se debe o no descargar. En el caso de Axie, la aplicación falsa creada por los delincuentes fue la de la billetera de Ronin, pero podría haber sido la de la billetera de Metamask, o incluso una falsa aplicación del propio juego. Siempre busque información en sitios oficiales sobre lo que debe y no debe usar/descargar.
  • Tenga cuidado con los correos o mensajes falsos: a medida que la popularidad del juego aumenta crecen las campañas maliciosas de phishing apuntando a los jugadores para robar información y obtener ganancias económicas. Esto se da en varias plataformas sociales o correo. Manténgase alerta y nunca siga las indicaciones que llegan por correo electrónico. Si la empresa o servicio necesita que realices algún cambio en tu sistema, siempre indican al usuario que acceda a las fuentes oficiales para obtener información, ya sea a través del sitio web o vía telefónica.
  • Instale una solución de seguridad en sus dispositivos: no es nuevo que digamos que es necesario tener una protección en todos los dispositivos y no en vano. Muchos de los malwares recopilan contraseñas de diferentes maneras, logran interceptar las comunicaciones de red de la víctima e incluso alteran el contenido que va directamente a la memoria, que a menudo se usa para intercambiar direcciones de billeteras de criptomonedas. No tener un software de protección instalado, actualizado y configurado para detener las amenazas lo deja extremadamente vulnerable a cualquier ataque, por lo que es esencial tener una solución confiable.