¿Qué es lo que pasa cuando en tu país no puedes hacer trampa porque no dispones de aquello que quieres trampear? Pues que te vas a un sitio donde sí lo haya. Eso es lo que se descubrió a mediados de 2014 que hacía una organización rusa al trasladar a sus operativos a Estados Unidos para manipular máquinas tragamonedas.
El 10 de diciembre de 2014, los ciudadanos rusos Murat Bliev, Ivan Gudalov, Igor Larenov, y el kazajo Yevgeniy Nazarov fueron detenidos en Missouri después de que el personal del Hollywood Casino en St. Louis identificase a Bliev, que fue el hilo a partir del cual se pudo llegar a la madeja. Debido a que los cuatro habían actuado en diferentes estados, las autoridades federales pudieron acusarles de cargos de conspiración para cometer fraude, siendo estas las primeras acusaciones que recibían los miembros operativos de la organización para la que trabajaban.
Ahora bien, ¿cómo conseguían estas personas, y esta organización, manipular estas máquinas? Pues con un método rudimentario en apariencia pero complejo en el fondo, basado en la información que poseía la organización acerca del algoritmo empleado por los modelos de tragamonedas atacados.
Así funcionaba la estafa
El primer paso de los agentes operativos de la organización era grabar con sus celulares la actividad de la máquina que pretendían atacar. Una vez habían grabado unas dos docenas de secuencias de jugadas, se lo enviaban al personal técnico en San Petersburgo. Ellos analizaban el vídeo y calculaban el patrón que seguía la máquina basándose en lo que sabían sobre el generador de números pseudoaleatorios del modelo en cuestión.
Tras el análisis, se enviaban unos marcadores de tiempo a una aplicación personalizada del celular del operativo. En base a estos marcadores, la aplicación hacía vibrar el teléfono con 0,25 segundos de antelación al momento en el operativo debía pulsar el botón de girar el rodillo. Según explicó Willy Allison, consultor de seguridad de un casino de Las Vegas que estuvo siguiendo el rastro de estos estafadores durante años, el tiempo de antelación seleccionado era debido a que es el tiempo de reacción normal de un ser humano.
Pero ¿qué tan efectivo era este método? Lo cierto es que hacer girar los rodillos digitales de las máquinas de manera cronometrada no garantiza un éxito absoluto. Sin embargo, los pagos son mucho más numerosos que si se jugase normalmente. De esta forma, los operativos conseguían ganar más de 10 mil dólares diarios, aunque según cuenta Allison lo hacían cambiando de máquinas para no despertar sospechas. En cada una, se limitaban a ganar hasta mil dólares. Después, cambiaban de máquina. Pero en total, un equipo de cuatro personas como el que fue arrestado podía llegar a ganar más de 250 mil dólares en una semana trabajando en varios casinos.
Un hackeo propiciado por una prohibición
Las máquinas tragamonedas no funcionan completamente al azar. Esto no significa que sea fácil descubrir un patrón en su funcionamiento, pero como se vio en este caso tampoco es algo que sea imposible de hacer. Las máquinas están controladas por un software denominado generador de números pseudoaleatorios. Y la clave de su vulnerabilidad está precisamente en lo de «pseudo», porque no se trata de una aleatoriedad real. Para que un generador de números sea verdaderamente aleatorio, tiene que estar enlazado a un fenómeno que no sea producido por el hombre, como la desintegración radioactiva.
Pero, debido al número de elementos que intervienen en el algoritmo para generar los números al azar, el resultado que se obtiene es uno bastante convincente, aunque no totalmente invulnerable. Sobre todo cuando el hacker, por decirlo así, tiene acceso a la máquina física. Eso hace que el proceso de ingeniería inversa sea más sencillo.
Debido a que en 2009, con Vladimir Putin de primer ministro, se prohibió prácticamente cualquier tipo de juego de azar en Rusia, miles de casinos se vieron forzados a vender sus máquinas tragamonedas. Aparentemente, algunas de estas máquinas fueron a parar a la organización que está detrás de los detenidos en Estados Unidos. Gracias a esto, pudieron examinarlas durante el tiempo suficiente para encontrar el método que, aunque ya hemos visto que no ofrece unos resultados certeros al 100%, sí permite obtener ganancias más que generosas.
Un problema que no tiene una solución fácil
Al parecer, el método de la grabación de las secuencias de juego y su transmisión a un equipo remoto para su análisis se sigue utilizando, aunque de una manera más refinada. Por ejemplo, ahora transmiten en directo por Skype en lugar de detenerse para subir el vídeo, algo que hacía a los operativos un poco más identificables. Pero más allá de enfrentarse a las técnicas empleadas por los estafadores, el problema tiene una solución compleja y cara.
Para empezar, los fabricantes cuyos generadores pseudoaleatorios hayan sido «hackeados» deberían poner todas sus máquinas fuera de servicio y sustituirlas por unas que usen sistemas más seguros. Y eso es algo que no van a hacer. De hecho, algunos de los afectados ni siquiera reconocen que lo sean. Según les dijeron a WIRED desde la compañía de máquinas Aristocrat, no han sido capaces de identificar defectos en sus sistemas y sus máquinas «están construidas y aprobadas en función de rígidos estándares técnicos».
Y luego está la parte de los casinos. La mayoría no puede permitirse invertir en las más recientes tragamonedas que usan cifrado. Echando cuentas, debido a las máquinas viejas que están comprometidas siguen siendo populares entre los clientes, a un casino le resulta un movimiento financiero inteligente el seguir usándolas y aceptar las pérdidas ocasionales producidas por los estafadores.
Por lo tanto, ahora la responsabilidad recae en el personal de seguridad para no perder ojo sobre lo que hacen los clientes y así poder identificar a un posible estafador. Por el momento, es la única opción que parece viable.
