Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

El nuevo sistema anti-trampas de Riot Games se ejecuta al arrancar el sistema y utiliza un controlador de kernel

Hacer trampa es un flagelo en los juegos multijugador. Un solo jugador que hace trampa puede arruinar la diversión de 10 a 20 personas más en un partido competitivo, y aunque los equipos de jugadores profesionales han demostrado repetidamente que pueden aplastar a los tramposos en el juego en vivo, la mayoría de los mortales comunes no tienen muchas posibilidades. Riot Games tiene todas las razones para trabajar para mantener a los tramposos fuera de Valorant, su nuevo juego de disparos en equipo multijugador, pero cómo lo está haciendo la compañía ha generado preocupaciones de seguridad.

Si bien el cliente anti-trampas solo se inicia junto con Valorant, hay un controlador anti-trampas en modo kernel que se carga tan pronto como se inicia el sistema operativo. Según Riot, esto es necesario porque algunos programas de trampas también inyectan controladores en modo kernel en el sistema operativo, lo que hace que sea mucho más difícil para las aplicaciones del espacio de usuario detectarlos y detenerlos. En una publicación de blog a principios de este año, Riot escribió:

En los últimos años, los desarrolladores de trampas han comenzado a aprovechar las vulnerabilidades o corromper la verificación de firma de Windows para ejecutar sus aplicaciones (o partes de ellas) a nivel del kernel. El problema aquí surge del hecho de que el código que se ejecuta en modo kernel puede enganchar las mismas llamadas al sistema en las que dependeríamos para recuperar nuestros datos, modificando los resultados para que parezcan legítimos de una manera que podríamos tener dificultades para detectar. Incluso hemos visto hardware especializado que utiliza DMA para leer y procesar la memoria del sistema, un vector que, hecho a la perfección, podría ser indetectable desde el modo de usuario.

Es probable que los entusiastas de la tecnología desde hace mucho tiempo se pongan nerviosos cada vez que se pronuncie la frase “controlador en modo kernel”, y por una buena razón. El fiasco del rootkit de Sony de 2005 fue un desastre de seguridad en el que Sony BMG instaló un rootkit real en las PC de los usuarios que luego fue explotado por malware adicional.

Imagen de El blog de Riot.

Riot es consciente de que la gente está preocupada por las implicaciones de seguridad de esta práctica, pero argumenta lo siguiente (en forma condensada):

  • Si quisiéramos robar datos de su computadora, podríamos hacerlo de una manera mucho más fácil.
  • Los tramposos utilizan trampas que se basan en controladores a nivel de kernel, por lo que necesitamos un software anticheat a nivel de kernel.
  • El equipo anti-trampas de Riot no puede dedicar tanto tiempo a este problema con múltiples juegos para apoyar.
  • Otros servicios anti-trampas como EasyAntiCheat, Battleye y XignCode 3 ya usan un controlador de kernel anti-trampas.
  • Es por tu propio bien.

La compañía tiene afirmó que no envía datos desde PC individuales en ningún momento que no sea cuando el juego se está ejecutando y que limita sus actividades a la detección de trampas, no a ningún otro tipo de actividad. Los expertos en seguridad están divididos sobre si esto representa o no una falla, y algunos opinan que es una idea fundamentalmente mala porque aumenta intrínsecamente la superficie de ataque contra el sistema operativo, mientras que Riot ha enfatizado su capacidad para responder rápidamente y su consulta con múltiples firmas de seguridad expertas y auditorías de código para asegurarse de que no existan errores en la implementación existente.

La conclusión es que Riot tiene razón: otros sistemas anti-trampas también usan controladores en modo kernel, pero es posible que la gente todavía no se sienta cómoda otorgando ese tipo de acceso a cualquier empresa. Las ofertas de malware y estafas han aumentado durante la pandemia y no sería sorprendente ver a los sombreros negros buscando nuevos vectores de ataque para explotar.

Riot actualmente no usa este sistema en League of Legends, pero ha declarado explícitamente que lo hará en algún momento en el futuro. Si encuentra objetable el concepto, lo mejor sería planear pasar a un juego diferente.