Somos Chris Hymes (director de protección de datos y jefe de seguridad de la información), Mark Hillick (director de seguridad), Clint Sereday (jefe de producto del sistema antitrampas), Daniel Hu (jefe de producto de privacidad de datos) y Warren Kenny (jefe de producto de seguridad de aplicaciones). Estamos aquí para hablaros de Riot Vanguard.
Ya hemos reflexionado acerca de Vanguard anteriormente, pero a lo largo de la última semana han surgido muchos comentarios acerca del sistema y de su controlador a nivel de núcleo. Según lo que hemos visto, lo que más os preocupa es la seguridad del controlador y vuestra privacidad. Nuestro compañero, Paul "Riot Arkem" Chamberlain, ha intentado responder a vuestras preguntas en la medida de lo posible pero nosotros, el grupo de orgullosos paranoicos más célebre de Riot, queríamos echarle una mano y explicaros un poco más en detalle el sistema para que comprendáis que la seguridad y la privacidad constituyen los cimientos de Vanguard.
Sobre la seguridad en Riot
Hace unos años, escribimos un artículo (en inglés) acerca de cómo las medidas de seguridad han ido evolucionando en Riot. En él, describimos nuestro planteamiento de la seguridad de la siguiente manera:
- Se trata del guardián de la cultura centrada en los jugadores de Riot.
- Se guía por vuestros comentarios y tiene siempre en mente a su público.
- Su objetivo principal es ofrecer opciones, no crear obstáculos.
Esto era cierto en 2017 y lo sigue siendo a día de hoy, en 2020. Nuestro equipo antitrampas se aseguró de diseñar Vanguard con la ayuda de nuestros equipos de seguridad y privacidad de datos, que estuvieron involucrados en cada paso del proceso. Sabemos que la decisión de ejecutar el controlador a nivel de núcleo puede parecer preocupante y entendemos que algunos de vosotros queráis más información acerca de la tecnología que guía al sistema. No podemos profundizar demasiado en los detalles técnicos sin arriesgarnos a poner Vanguard en peligro, pero más abajo os daremos todos los detalles posibles. Por otro lado, os aseguramos que Vanguard ha sido examinado en profundidad por expertos de seguridad tanto internos como externos.
En resumen, sabed que Riot nunca llevaría adelante un sistema como este sin tener la garantía de que respeta la privacidad y la seguridad de los jugadores con total seriedad. Dicho esto, vamos a echar un vistazo a la filosofía en que se basa Vanguard y a los fundamentos de su arquitectura.
La filosofía de Riot Vanguard
- Una de las prioridades de Riot es alcanzar la mayor integridad competitiva posible en nuestros juegos. Queremos que juguéis en un entorno en el que nunca tengáis que poner en duda vuestra destreza o la de vuestros oponentes.
- La lucha contra los tramposos está en constante evolución, y siempre estamos buscando mejores formas de cumplir nuestros objetivos. Tiempo atrás, hacer trampas consistía simplemente en tratar de hacerse con el control de la memoria del cliente, mientras que ahora hay métodos que incluso tratan de modificar el sistema operativo de los dispositivos.
- Si ejecutáramos el software antitrampas únicamente en modo de usuario, no podría frenar programas de trampas que operan con más privilegios. Por ejemplo, algunas de las comunidades de desarrollo de programas de trampas más avanzadas han utilizado acceso directo a memoria (DMA por sus siglas en inglés) para retransmitir memorias a otros ordenadores y después procesarlas.
- Vanguard nos ayuda a hacer realidad este ideal de integridad competitiva a la vez que nos permite adaptar constantemente nuestro arsenal en esta guerra contra los que apoyan las trampas.
- Vanguard no recopila o procesa información personal en mayor medida de lo que lo hace el sistema antitrampas actual de League of Legends. Riot no tiene intención de averiguar nada acerca de vuestro ordenador más allá de lo estrictamente necesario para mantener la integridad de vuestras partidas. Toda la información del juego que recopilamos se usa para ejecutar el propio juego, así como para servicios relacionados con la integridad, como Packman y Vanguard.
La arquitectura de Riot Vanguard
- Vanguard cuenta con tres componentes: el cliente, el controlador y la plataforma.
- El cliente (modo de usuario) gestiona todas las tareas de detección de trampas durante las partidas.
- Necesita comunicarse con la plataforma para recibir la información de detección y para que los jugadores puedan jugar.
- El cliente no considera que un ordenador es de fiar a no ser que reconozca el controlador. Los dispositivos no considerados seguros no podrán jugar a VALORANT.
- El controlador (a nivel de núcleo) sirve para que el cliente valide el estado de la memoria y del sistema y para asegurarse de que nadie ha modificado el cliente.
- Se ejecuta al iniciar el ordenador para evitar que se carguen programas de trampas antes de que se inicie el cliente.
- Este controlador se puede desinstalar en cualquier momento (aparecerá como "Riot Vanguard" en la sección de añadir o quitar programas), pero no será posible iniciar VALORANT sin tenerlo instalado.
- Este controlador no recopila ni nos envía información acerca de vuestro ordenador en ningún caso.
- Cuenta con el certificado con validación extendida (en inglés) de Riot que, a su vez, está respaldado por Microsoft en función a lo establecido en su proceso de firma de código (en inglés).
Los siguientes pasos
Como parte de nuestro compromiso con la seguridad y la privacidad de nuestros jugadores, llevamos seis años ofreciendo un programa de detección recompensada (Bug Bounty program) en HackerOne. Hemos otorgado un total de casi dos millones de dólares como recompensa a expertos investigadores en materia de seguridad, y las áreas puestas a prueba incluyen todos los aspectos con los que interactúan los jugadores. Hoy anunciamos que vamos a crear una sección especial para las vulnerabilidades de Vanguard que gozará de recompensas aún mayores. Queremos que los jugadores puedan disfrutar de nuestros productos sin miedo y pensamos invertir lo que resulte necesario para conseguirlo. Si creéis que habéis encontrado un error en Vanguard que podría poner en peligro la seguridad o la privacidad de los jugadores, enviadnos un informe cuanto antes y puede que acabéis recibiendo una buena recompensa. Para más información, visitad nuestra página en HackerOne.
Nunca permitiríamos que Riot lanzara un producto del que no estuviéramos seguros que os podéis fiar (y Riot jamás intentaría hacerlo, incluso sin nuestra intervención). Tenéis todo el derecho del mundo a cuestionar nuestro trabajo y ponernos a prueba, pero que quede claro que, si no nos importaran enormemente la privacidad y la confianza de nuestros jugadores, y creyéramos que Riot está de acuerdo con nosotros, no trabajaríamos aquí. Igual que vosotros, somos jugadores dedicados, y no instalaríamos en nuestros equipos programas de los que no podemos fiarnos.
Os animamos a seguir considerándonos responsables de proteger la integridad competitiva de vuestras partidas y vuestra privacidad individual.