Expertos en ciberseguridad han encendido las alarmas sobre el uso de una presunta herramienta de optimización para Roblox que, en realidad, esconde malware diseñado para robar cuentas, contraseñas y datos sensibles de los jugadores, en su mayoría niños y adolescentes.
La amenaza ha sido detectada en distintas plataformas como YouTube, Discord y foros externos, donde se invita a los usuarios a descargar aplicaciones o scripts supuestamente creados para mejorar el rendimiento del juego. Una vez instalados, estos programas acceden a información privada y pueden tomar control de la cuenta del usuario.
Uno de los casos más recientes involucra a “Tweaks” o “Tweaker”, un programa que se promociona como herramienta para aumentar los FPS en Roblox, pero que en realidad actúa como software espía. Este malware puede capturar contraseñas, códigos 2FA y hasta PINs de control parental al insertar scripts dentro del navegador del usuario.
Además, se ha reportado otra amenaza en sitios como rolinked.com, donde se pide al jugador arrastrar un bookmarklet (un fragmento de código) a la barra de marcadores. Al ejecutarlo dentro del sitio de Roblox, se activa una falsa verificación que simula una interfaz oficial y roba datos personales, incluyendo autenticación en dos pasos y control total de la cuenta.
Roblox y expertos en ciberseguridad han emitido una serie de medidas preventivas para proteger a los jugadores:
- No descargar programas externos o no verificados. Roblox no autoriza herramientas de terceros que prometen Robux, mejoras gráficas o “hacks”.
- Nunca compartir contraseñas o códigos de verificación, ni siquiera si la página parece oficial.
- Evitar enlaces enviados por desconocidos o que provengan de foros, canales de Discord o videos de YouTube no certificados.
- Activar la verificación en dos pasos (2FA) desde la configuración de seguridad de Roblox.
- Reportar cualquier actividad sospechosa directamente al soporte técnico de Roblox.
La amenaza no solo afecta a jugadores. Investigadores han detectado malware dirigido a desarrolladores de Roblox, especialmente a través de paquetes npm falsos como node-dlls o rolimons-api. Estos paquetes, una vez instalados, permiten el robo de credenciales, cookies y tokens de acceso a plataformas como Discord o GitHub.
