Juegos y Recomendaciones para Protegerse de Ataques de Hackers
Juegos y Recomendaciones para Protegerse de Ataques de Hackers

Juegos y Seguridad: Recomendaciones para Protegerte de Ataques de Hackers

Según un informe confidencial de Statista, en 2023 los ataques de ransomware en la industria del juego representaron más de $184 millones de dólares en pérdidas registradas oficialmente. Los más sonados: ataques a la empresa polaca de desarrollo CD Projekt Red (creadora de Cyberpunk 2077, Witcher 3 y otras), así como a Insomniac Games, que crea juegos para el universo Marvel. En estos casos, los hackers cifraron el acceso a las versiones completas de los códigos fuente de las nuevas versiones de los juegos, los datos de pago de los clientes, la información del personal y los inversores.

Hay razones para creer que la situación de seguridad empeorará. Se podrá evitar una gran cantidad de incidentes si se trabaja en la seguridad del software del juego desde la fase de desarrollo. Pero vayamos de a pocos.

¿Por qué y cómo atacan los juegos?

Por qué atacan los juegos online
Por qué atacan los juegos online

En el mercado latinoamericano del software para juegos, el 70% del desarrollo se concentra en el segmento de dispositivos móviles, el 20% en los juegos de ordenador y alrededor del 10% en los juegos para consolas. Se cree que nuestros programadores hacen los mejores éxitos móviles del mundo, mientras que para juegos de ordenador más complejos y profundos no hay suficiente experiencia ni dinero.

Ahora todo se ha vuelto más complicado debido a la situación política: el mercado se ha reducido considerablemente. Pero debes entender que la seguridad no es algo en lo que se deba ahorrar. Más aún porque las pérdidas en caso de incidentes pueden ser impresionantes.

Al evaluar la seguridad del software, los expertos en seguridad tienen en cuenta varios aspectos:

  1. Infraestructura
  2. Interacción de red
  3. Código del software
  4. Lógica de interacción con el usuario

Estos cuatro aspectos deben estar cubiertos al menos con las prácticas de seguridad básicas, de lo contrario, el trabajo en los demás no tiene sentido. En los tres primeros, el software para juegos es similar a otros productos de software, por lo que analizaremos con más detalle el cuarto.

A diferencia de cualquier otro software, la lógica de los productos de juego no está limitada por nada, excepto por la voluntad del autor. En los juegos no hay reglas estrictas, en los chats se habla sin formalidades, por ejemplo, como en las aplicaciones de sport. Y la seguridad de los datos personales es responsabilidad de los propios jugadores. Incluso al jugar en el gran sport casino, hay que seguir ciertas conductas seguras.

En este mundo, la gente vive: se comunica y comparte datos personales, a menudo asumiendo que en el mundo ficticio las amenazas también son ficticias.

Tipos de ataques al software para juegos

Tipos de ataques a plataformas de juegos online
Tipos de ataques a plataformas de juegos online

Existen dos tipos principales de ataques al software para juegos:

El primero está dirigido a los fabricantes y propietarios. Los atacantes obtienen acceso a información confidencial, datos de pago e inversión, así como al código fuente de los juegos en desarrollo. Y se les abren posibilidades: desde la reventa de datos a la competencia, hasta el simple chantaje a la empresa. De manera similar, en caso de acceso a la infraestructura del servidor: cuando un atacante ataca a la empresa, puede causar caos en el proceso del juego, modificando algo en los servidores, y provocar una “interrupción” del juego. En cada caso, la empresa propietaria es la que más sufre.

El segundo tipo está dirigido a los usuarios. Sus cuentas son interesantes porque ahí está el dinero y es fácil sacarlo. Cada usuario tiene un perfil: a él está vinculada una tarjeta, un número de teléfono, un correo electrónico, datos de autenticación, que pueden ser utilizados por los estafadores. Y a menudo sucede que toda esta información se utiliza para trabajar con otros servicios, que también pueden ser atacados. Y los juegos que permiten la monetización con dinero real o la conversión de dinero real en moneda del juego, y la posibilidad de realizar ingresos, compras de skins, etc., son una “cueva de tesoros” para los esquemas fraudulentos.

En la práctica, a menudo ocurre que las vulnerabilidades en la industria del juego afectan tanto a los usuarios como a las empresas al mismo tiempo. Basta con pensar en el hecho de que los problemas de los jugadores se reflejan directamente en la monetización de los juegos y en los ingresos de la empresa. Y esto presenta una gran dificultad a la hora de establecer prioridades y elegir métodos de análisis de este tipo de software.

Tipos de vulnerabilidades del software para juegos

Un reciente estudio sobre el análisis de la seguridad de las aplicaciones móviles demostró que el 60,3% de las aplicaciones contienen vulnerabilidades de nivel crítico y alto. Las aplicaciones de la categoría Entretenimiento son un 78,9%, Apuestas un 76,5%. Veamos en detalle los tipos de vulnerabilidades que existen:

Vulnerabilidades en juegos
Vulnerabilidades en juegos

Trucos de los tramposos. Este es un conjunto completo de exploits de vulnerabilidades en el área de la interacción lógica. Se basan en la integración en el juego para obtener beneficios: ventajas sobre los rivales, ganancias, bonificaciones, etc. La viabilidad de estos ataques (cada uno se estima en $50-$200 de media, y puede haber cientos o incluso miles en un solo juego) está relacionada con los problemas de seguridad, y tanto los usuarios como los fabricantes de juegos se ven afectados.

Personas que juegan gratis y dañan las aplicaciones. Se trata de usuarios irresponsables, competidores groseros y hackers deshonestos. Debido a ellos aparecen las copias piratas de los juegos, los servidores de licencias hackeados o falsos, el malware en forma de backdoors, los virus en las versiones modificadas, la conexión a la red bot y otras mecánicas maliciosas. Y estos no son solo problemas para los desarrolladores, sino también para los usuarios, cuya seguridad se ve afectada.

Vulnerabilidades del código del software que provocan problemas técnicos. En mayo de 2023, investigadores de seguridad de la firma de consultoría maltesa ReVuln descubrieron vulnerabilidades críticas con daños en la memoria y desbordamiento del búfer en CryEngine 3, Unreal Engine 3, Hydrogen Engine e id Tech 4. Estos son motores de juego utilizados en videojuegos: Quake 4, Crysis 2, Homefront, Brink, Monday Night Combat, “Enemy Territory: Quake Wars”, “Sanctum”, Breach, Nexuiz, etc.

Estas vulnerabilidades se utilizan para ejecutar código remoto o ataques de denegación de servicio contra los clientes y servidores del juego, enviándoles paquetes de datos maliciosos.

Para los exploits, el atacante no necesita acceso al jugador ni privilegios adicionales. Al mismo tiempo, el estafador puede configurar, por ejemplo, un servidor malicioso para uno de los juegos y añadirlo a la lista del servidor principal, en la base de datos de los servidores de juegos disponibles a la que acceden los usuarios clientes. Esto le permitirá comprometer los ordenadores de cualquier jugador que se una al servidor fraudulento. Vemos de nuevo que la empresa y los jugadores están en peligro.

¿Cómo asegurar el software para juegos?

Además de la cuestión de los costes, un criterio importante para el éxito del proyecto es la facturación de la empresa, que se basa en el indicador Time-to-Market (TTM, preparación para salir al mercado). Muchos fabricantes sacrifican las medidas de seguridad del producto en aras de la velocidad de desarrollo, para recuperar la inversión con mayor rapidez.

Sin embargo, el creciente número de incidentes, demandas de los jugadores, riesgos de fuga de jugadores, la amenaza potencial para la reputación y la mayor atención al nivel de seguridad del software por parte del Estado obligan a los desarrolladores a buscar compromisos.

Los cálculos ayudan a tomar decisiones. Tomemos, por ejemplo, un equipo de desarrollo de juegos de 21 personas. Imaginemos que el indicador TTM de un juego es de 180 días y no hay presupuesto para seguridad.

Supongamos que el coste de un ataque de hackers es de 200 mil USD (en casos más complejos, medio millón). Tenemos en cuenta que hasta que el desarrollador cierre las “brechas” puede haber varios ataques. Además, durante el pirateo pueden distribuirse versiones gratuitas del juego, lo que supondría millones de beneficios no obtenidos.

Con un buen escáner de seguridad, donde la licencia para un año costará de 30-40 mil dólares, se pueden solucionar los principales problemas con la seguridad de la información, desplazando el TTM solo 30 días. Es difícil calcular, todo depende de la magnitud del problema. Pero en promedio, los gastos con la licencia adquirida serán más bajos, aproximadamente de 90 a 130 mil dólares por un ataque de hackers.

Principales reglas de protección del software en el ámbito del juego

Estas reglas minimizarán la probabilidad de que se produzcan incidentes:

  • Presta atención a los datos que almacena tu aplicación. Esto se aplica tanto al lado del servidor como al cliente. Presta especial atención a los datos de autenticación y la información personal de los usuarios.
  • Prueba tu juego antes de su lanzamiento y realiza pentesting. Si se detectan vulnerabilidades, dedica tiempo a analizar su criticidad antes de lanzarlo. Si se encuentran vulnerabilidades críticas, posponga el lanzamiento hasta que se corrijan.
  • Utiliza protocolos seguros para la transmisión de datos entre dispositivos. Para la transmisión segura de datos, son adecuados los protocolos HTTPS/TLS con una versión no inferior a 1.3.
  • Controla el acceso. El jugador no debe tener la posibilidad de acceder a la configuración del servidor, por ejemplo, o ver los datos de otros jugadores (que no debería ver).
  • Evalúa cuidadosamente la seguridad de la infraestructura. El servidor del juego debe ser fiable y estar protegido de ataques externos.
  • Configura y utiliza el filtrado y la moderación en tu juego. Esto reducirá el tiempo que se tarda en eliminar el contenido dañino si aparece.

Trucos para desarrolladores

Trucos de ciberseguridad para desarrolladores
Trucos de ciberseguridad para desarrolladores

Estos trucos son útiles para los desarrolladores de juegos para prevenir y solucionar incidentes de manera eficaz:

  • El proceso de creación de juegos no es muy diferente al de desarrollo de aplicaciones web (excluyendo la especificidad, por supuesto). Por lo tanto, se pueden aplicar casi las mismas prácticas que a cualquier otro software. Fíjate en los ejemplos de procesos bien establecidos y piensa en qué se puede incluir de forma relativamente sencilla en el proceso de desarrollo.
  • Por lo general, las primeras prácticas que se eligen son el análisis de componentes de código abierto (SCA) y el análisis estático (SAST). Aquí también se puede añadir la búsqueda de secretos: tanto de servicios internos como externos. A menudo esto permite evitar muchos problemas.
  • Una buena manera de comprender el nivel de seguridad actual puede ser realizar una prueba de penetración externa. Tanto para la parte de infraestructura (configuración y seguridad de los servidores, perímetro de la empresa, etc.), como para el análisis de la propia aplicación. Esto permitirá comprender qué problemas existen y qué se debe hacer con ellos.

Finalmente, no adquieras inmediatamente herramientas empresariales para la seguridad. Empieza con soluciones de código abierto. Te ayudarán a comprender cómo construir el proceso y solucionar los problemas.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda