El grupo de extorsión ShinyHunters ha hecho públicos 78,6 millones de registros correspondientes a una filtración de datos de Rockstar Games, un incidente vinculado a una brecha de seguridad previa en la empresa de análisis de anomalías Anodot. Según los ciberdelincuentes, los datos fueron sustraídos de entornos Snowflake utilizando tokens de autenticación comprometidos durante el ataque a dicha plataforma.
Puntos clave de la filtración de datos de Rockstar Games
- El grupo ShinyHunters ha publicado en su sitio de fugas de datos 78,6 millones de registros internos de Rockstar Games.
- La brecha se originó por el robo de tokens de autenticación de Anodot, un integrador de SaaS, que permitió acceder a instancias de Snowflake.
- Los datos expuestos incluyen métricas de ingresos, comportamiento de jugadores y análisis del sistema de soporte de Zendesk, principalmente de GTA Online y Red Dead Online.
- Rockstar Games ha confirmado el incidente, pero lo califica de «información no material» que no afecta a la organización ni a sus jugadores.
- Este ataque forma parte de una campaña más amplia que afecta a decenas de empresas que utilizan la integración de Anodot con Snowflake.
La filtración de datos de Rockstar Games y el grupo ShinyHunters
🔎 ¿Sabes qué datos de tu empresa están expuestos en internet ahora mismo? Con ErisAI, nuestra plataforma de detección de exposición pública, identificamos en tiempo real qué información corporativa —correos, credenciales, documentos— está accesible en la web superficial, foros y dark web antes de que un atacante la explote.
Según medios especializados, la filtración se materializó en el sitio de extorsión del grupo ShinyHunters con un mensaje dirigido a la compañía: «Tus datos de métricas de instancias de Snowflake se vieron comprometidos gracias a Anodot.com». Rockstar Games no ha respondido a las solicitudes de comentarios de varias publicaciones, pero en una declaración compartida con Kotaku, la empresa confirmó el acceso a «una cantidad limitada de información empresarial no material» en relación con una brecha de un tercero.
Desde nuestro análisis en Iberia Intel, observamos que la táctica de ShinyHunters es coherente con sus operaciones habituales: explotar vulnerabilidades en la cadena de suministro de servicios en la nube para luego extorsionar a las víctimas finales. La escala de los datos publicados —78,6 millones de registros— sugiere un acceso significativo a los sistemas analíticos, aunque Rockstar insista en su naturaleza no crítica.
¿Qué información exacta se ha filtrado?
Los actores de amenazas indicaron a fuentes del sector que los datos filtrados consisten principalmente en análisis internos utilizados para monitorizar los servicios online de Rockstar y sus tickets de soporte. En concreto, los conjuntos de datos incluirían:
- Métricas de ingresos y compras dentro del juego.
- Seguimiento del comportamiento de los jugadores.
- Datos de la economía de Grand Theft Auto Online y Red Dead Online.
- Analíticas del sistema de soporte al cliente basado en Zendesk.
- Referencias a sistemas de detección de fraude y pruebas de modelos anti-trampas.
Esta filtración de datos de Rockstar Games no contiene, al parecer, credenciales de acceso personales, datos de pago o información de carácter personal identificable de los jugadores. Sin embargo, la exposición de métricas de negocio y análisis de jugador supone una grave pérdida de propiedad intelectual y ventaja competitiva.
El incidente en Anodot y su impacto en los entornos Snowflake
Este ataque no es un incidente aislado, sino parte de una campaña de robo de datos más amplia vinculada a una brecha de seguridad en Anodot, una empresa de detección de anomalías de datos que se integra con múltiples plataformas SaaS en la nube. Según se ha reportado, los atacantes robaron tokens de autenticación de este servicio y los utilizaron para acceder a información de clientes almacenada en instancias conectadas de Snowflake, S3 y Amazon Kinesis.
Snowflake confirmó la semana pasada que había detectado actividad inusual que afectaba a un número reducido de cuentas de cliente vinculadas a una integración de un tercero. La compañía bloqueó las cuentas afectadas y notificó a los clientes. Posteriormente, identificó a la empresa de integración como Anodot.
Desde nuestro punto de vista como analistas, este patrón subraya un riesgo sistémico creciente: la dependencia de tokens y credenciales de integración de terceros que, una vez comprometidas, abren la puerta a múltiples víctimas finales. La superficie de ataque se extiende más allá del perímetro de la empresa principal.
Cómo se produjo el ataque mediante tokens de autenticación robados
El método de acceso evadió los controles de seguridad tradicionales al aprovechar tokens legítimos de Anodot. Estos tokens, que permiten la comunicación autorizada entre servicios en la nube, fueron sustraídos durante el incidente en la plataforma de análisis. Los ciberdelincuentes los utilizaron luego para autenticarse en las instancias de Snowflake de los clientes de Anodot, incluida Rockstar Games, como si fueran un servicio legítimo.
Este tipo de ataque de cadena de suministro es particularmente insidioso porque no requiere explotar una vulnerabilidad de día cero en la plataforma principal (Snowflake), sino que aprovecha una brecha en un eslabón de confianza (Anodot). La defensa debe pivotar hacia una gestión más estricta de los permisos de integración y una monitorización continua de la actividad anómala, incluso en sesiones autenticadas con tokens válidos.
Antecedentes de ciberataques contra Rockstar Games
Esta no es la primera vez que Rockstar Games sufre una brecha de seguridad de alto perfil. En 2022, un hacker asociado con el grupo de extorsión Lapsus$ filtró vídeos de jugabilidad y código fuente de Grand Theft Auto 6. Aquel incidente, aunque diferente en su naturaleza —un ataque más directo—, ya puso en evidencia el atractivo que la compañía tiene para los cibercriminales motivados por el impacto mediático y el posible rescate.
La reincidencia plantea preguntas sobre la postura de seguridad de la empresa y su gestión de los riesgos de terceros. Mientras que el ataque de 2022 fue más intrusivo y centrado en el desarrollo, la filtración de datos de Rockstar Games actual explota una vulnerabilidad en un socio tecnológico, lo que demuestra que los equipos de seguridad deben ampliar su ámbito de evaluación de riesgos más allá de su infraestructura directa.
Recomendaciones de seguridad para empresas que utilizan servicios en la nube
A partir de este caso, podemos extraer varias lecciones clave para la ciberinteligencia y la seguridad corporativa:
- Auditoría de integraciones de terceros: Revisar periódicamente los permisos y tokens de todas las integraciones SaaS, aplicando el principio de mínimo privilegio.
- Monitorización de actividad anómala: Implementar soluciones que detecten patrones de acceso inusuales incluso desde identidades autenticadas, especialmente en entornos de almacenamiento en la nube como Snowflake.
- Plan de respuesta para brechas en la cadena de suministro: Tener protocolos activados para cuando un proveedor o integrador sufra un incidente, incluyendo la rotación inmediata de credenciales y tokens.
- Segmentación de datos: Aislar los datos más sensibles y los entornos analíticos de las integraciones de terceros de mayor riesgo.
En definitiva, la filtración de datos de Rockstar Games sirve como un recordatorio contundente de que, en el ecosistema cloud actual, tu seguridad es tan fuerte como el eslabón más débil de tu cadena de integración. La ciberinteligencia proactiva debe incluir la vigilancia constante de la postura de seguridad de tus socios tecnológicos.
Recursos y fuentes oficiales:
Detecta si los datos de tu empresa están expuestos — gratis con ErisAI
ErisAI, desarrollada por Iberia Intelligence, escanea la huella digital de tu organización y genera un informe de exposición: credenciales filtradas, dominios comprometidos, menciones en foros de ciberdelincuentes y mucho más. Solicita tu análisis gratuito hoy.