RESUMEN: Descubrimos una falla crítica en varias placas madre que puede aprovecharse para inyectar código de manera imperceptible. Si tu sistema se ve afectado, Vanguard te indicará que uses nuestro servicio de VAN:Restricción para actualizar el firmware de tu placa madre.

Saludos, demonios de las clasificatorias.

Me llamo Mohamed y algunos de ustedes quizá me conozcan como ItsGamerDoc en X. Este es mi primer artículo oficial en Riot. La cocina antitrampas lleva tiempo trabajando duro para servir cucharada tras cucharada de sopa de prohibiciones a los tramposos, pero hoy no quiero centrarme en estas deliciosas prohibiciones. En cambio, quiero centrarme en el platillo que hemos estado preparando: una receta que garantiza la seguridad y que deja a las trampas de DMA... fritas.

Bueno, basta ya de metáforas culinarias. En un futuro muy próximo, Vanguard comenzará a aplicar controles más estrictos a la seguridad del arranque del sistema para determinados jugadores.

¿Por qué? A principios de este año descubrimos una falla crítica que afectaba a varias placas madre modernas. Este problema permitía que las trampas de hardware pudieran inyectar código sin ser detectadas, incluso cuando la configuración de seguridad del host parecía estar habilitada.
Aquí te explicamos por qué está sucediendo esto y, lo que es más importante, qué hacer si esto te afecta.

El problema de: "¿Qué es lo primero en cargar?".

Para comprender este cambio en la implementación, debemos hablar sobre cómo se inicia normalmente tu computadora. En el momento en que se enciende tu PC, esta se encuentra en su estado con mayores privilegios: tiene acceso total y sin restricciones a todo el sistema y a todo el hardware conectado. Cuando comienza, el sistema carga y ejecuta su firmware inicial (normalmente UEFI), que luego arranca una cadena de inicialización de hardware, software y de seguridad. Solo después de todo esto, el control pasa finalmente al sistema operativo, que es lo que solemos considerar como "la computadora".

El problema que esto genera es que los componentes que se cargan antes en esta cadena suelen tener más privilegios y pueden manipular los componentes que se cargan después. Los desarrolladores de trampas lo saben muy bien. Por desgracia, el sistema operativo en el que se ejecuta tu juego se carga casi al final del proceso. Esto significa que las trampas pueden ejecutarse antes de tiempo, obtener mayores privilegios y ocultarse eficazmente dentro del sistema antes de que el sistema operativo o cualquier programa que se ejecute en él tenga la oportunidad de defenderse.
Por fortuna, ya existen funciones de seguridad como Secure Boot, VBS e IOMMU que ayudan a garantizar la seguridad. Y, por lo general, son eficaces para prevenir este vector de ataque, siempre y cuando estén activados y funcionen correctamente.

La estrategia de Vanguard es sencilla: crear un perímetro alrededor del kernel de Windows para garantizar que el sistema no haya sido vulnerado lo antes posible. Si una trampa carga antes que nosotros, tiene más posibilidades de esconderse donde no podamos encontrarla. Esto crea una oportunidad para que las trampas pasen desapercibidas y causen estragos en tus juegos durante más tiempo del que estamos dispuestos a tolerar.

El descubrimiento: Un guardia de seguridad dormido

¿Recuerdas que hace unos momentos hablamos de las funciones de seguridad existentes que funcionan bien, suponiendo que funcionan? Hablemos de una de ellas, IOMMU.

Durante años, la forma más eficaz (y costosa) de hacer trampa ha sido el uso de dispositivos DMA (acceso directo a memoria).

Las placas DMA son dispositivos de hardware que se conectan a la computadora y acceden directamente a la memoria, sin pasar por la CPU ni por Windows. Para detenerlas, utilizamos una función de hardware llamada IOMMU (unidad de gestión de memoria de entrada-salida). Piensa en el IOMMU como un guardia de seguridad para tu RAM. Este comprueba la identificación de cada dispositivo que intenta acceder a la memoria y expulsa a los que no están en la lista de invitados.

La "Protección DMA previa al arranque" es una función de seguridad presente en la BIOS/firmware de muchos dispositivos que aprovecha el IOMMU del sistema para impedir el acceso DMA no autorizado a la memoria del sistema en las primeras fases de la secuencia de arranque. Esto le da al sistema operativo cargado cierta confianza en que el sistema en el que se encuentra se inicializó con una integridad predecible. Lo cual es fantástico, en teoría... Pero eso también significa que el sistema operativo tiene que confiar en la propia función de seguridad.

Y eso es precisamente lo que descubrió la investigación del equipo de Vanguard. En algunos casos, los firmwares de los fabricantes de hardware indicaban incorrectamente al sistema operativo que esta función estaba totalmente activa, cuando en realidad no lograban inicializar correctamente el IOMMU durante el arranque inicial.

Esto implicaba que, aunque la configuración de “Protección DMA previa al arranque” parecía estar habilitada en la BIOS, la implementación del hardware subyacente no inicializaba completamente el IOMMU durante los primeros segundos del proceso de arranque. Básicamente, el "guardia de seguridad" del sistema parecía estar de guardia, pero en realidad estaba dormido en su silla. Por lo tanto, para cuando el sistema está completamente cargado, no se puede estar 100% seguro de que no se haya inyectado código que altere la integridad a través de DMA.
Este breve margen es todo lo que necesita un sofisticado truco de hardware para colarse, inyectar código y ocultarse antes de que Vanguard se active.

La solución: Una actualización unificada

A principios de este año, compartimos nuestros hallazgos con nuestros socios de hardware, quienes han colaborado de manera excelente en este proceso, validando el problema y produciendo actualizaciones completas de BIOS para solucionarlo. 

No solo lo decimos nosotros. Aquí puedes consultar los avisos de seguridad de los principales fabricantes de hardware: 

Estas actualizaciones garantizarán que, cuando habilites las funciones de seguridad, estas estén activas desde el primer milisegundo tras encender la computadora.

¿Qué hago si recibo una Restricción?

Nuestro sistema VAN:Restricción es la forma en que Vanguard te informa que no podemos garantizar la integridad del sistema debido a las funciones de seguridad desactivadas que se describen. Esto impedirá que inicies VALORANT y aparecerá un cuadro emergente con los requisitos necesarios para poder seguir jugando. Estas restricciones se aplican a nivel de cuenta o ID de hardware cuando detectamos un comportamiento sospechoso del hardware o anomalías estadísticas. Estas anomalías pueden producirse debido a diversos factores, entre ellos, la desactivación de funciones de seguridad o, en este caso, la recién descubierta vulnerabilidad previa al arranque que invalida el IOMMU. Recibir una de estas advertencias no significa necesariamente que estás bajo sospecha de hacer trampa, sino que la configuración actual de tu sistema es demasiado similar a la de los tramposos que eluden las medidas de seguridad para pasar desapercibidos ante Vanguard. 

Esta medida de seguridad mínima es esencial para combatir a los tramposos. Si recibes una restricción, se te pedirá que habilites dichas funciones o que actualices el firmware de tu placa madre siguiendo las instrucciones oficiales del fabricante antes de poder jugar. Puedes obtener más información sobre las restricciones en esta página de soporte al jugador. 

Además, estamos evaluando la posibilidad de extender este requisito a todos los jugadores del nivel más alto (Ascendente y superior) para garantizar una seguridad básica confiable para los mejores de la clasificación.

El objetivo

Las actualizaciones de BIOS no son tan emocionantes como ver las cifras de prohibiciones, pero son un paso necesario en nuestra lucha contra las trampas de hardware. Al cerrar esa brecha previa al arranque, eliminamos toda una clase de trampas que antes eran imposibles de detectar y aumentamos considerablemente la dificultad de jugar de manera desleal.

Todo este proceso supone un logro importante, no solo para nuestro sistema antitrampas, sino para toda la industria de los videojuegos, más allá de Riot Games. Si este problema hubiera pasado desapercibido, habría invalidado por completo todas las tecnologías de detección y prevención de DMA existentes actualmente en el mercado, incluidas las de otras empresas de videojuegos, debido a la naturaleza de este tipo de trampas, que se ejecutan en un área privilegiada en la que las medidas antitrampas no suelen funcionar.

Si quieres anticiparte a esto y disfrutar de un funcionamiento ininterrumpido, puedes actualizar proactivamente tu placa madre con el firmware más reciente visitando los sitios web de los fabricantes. Mejorar la seguridad general de la industria de los videojuegos ha sido uno de nuestros principales objetivos desde el 2021. El uso de estas medidas estrictas ahora es evidente en toda la industria, como se destaca en artículos como el de Xbox: "Construyendo un futuro de juego confiable: cómo la seguridad impulsa el juego justo". Estos fundamentos de seguridad son innegociables en la lucha contra las trampas. Nos enorgullece haber sido pioneros en estos avances en materia de seguridad y nos comprometemos a mantener un entorno competitivo justo y confiable para todos.

Agradecemos el esfuerzo que supone mantener tu sistema actualizado. Gracias por ayudar a mantener los juegos justos y seguros para todos. Si tienes algún problema, no dudes en ponerte en contacto con el Soporte de Riot, donde te proporcionaremos orientación general o te remitiremos a los recursos oficiales del fabricante.