Resumen: Hemos descubierto un defecto problemático en múltiples placas base que es posible aprovechar para inyectar códigos y que pasen desapercibidos. Si vuestro sistema es uno de los afectados, Vanguard os mostrará un error VAN:Restriction y os pedirá que actualicéis el firmware de vuestra placa base.

¡Buenas, demonios de la clasificación!

Me llamo Mohamed, aunque algunos me conocéis como ItsGamerDoc en X. Este es mi primer artículo oficial en Riot. El equipo antitrampas se ha puesto manos a la obra para servir bloqueos a mansalva a los tramposos, pero hoy no vengo a hablar de las deliciosas suspensiones que se están comiendo. En lugar de eso, me centraré en lo que hemos cocinado entre bastidores: una receta para reforzar la seguridad que dejará las trampas de DMA... chamuscadas.

Bueno, basta ya de hablar de comida. En un futuro muy próximo, Vanguard comenzará a ejecutar comprobaciones más estrictas en lo referido a la seguridad del arranque del sistema en el caso de determinados jugadores.

¿Que por qué? Este año, hemos descubierto un importante error que afecta a múltiples placas base modernas. Dicho problema permitía a las trampas de hardware inyectar código de una forma indetectable, incluso aunque los ajustes de seguridad estuviesen activos.

Vengo a contaros por qué está ocurriendo y, más importante si cabe, qué hacer si os afecta.

El problema de "¿Quién carga primero?"

Para comprender este cambio, hay que entender cómo arranca un ordenador normalmente. En el momento en el que iniciáis vuestro ordenador, este se encuentra en su estado de mayor privilegio, pues dispone de acceso total y sin restricciones a todo el sistema y el hardware conectado. El sistema empieza por cargar y ejecutar el firmware inicial (UEFI, normalmente), lo que conlleva el inicio en cadena del hardware, el software y los sistemas de seguridad. Después de todo esto es cuando se cede el control al sistema operativo, que es a lo que solemos llamar "ordenador".

El problema es que los componentes que se cargan antes en la cadena suelen contar con más privilegios y tener la capacidad de modificar aquellos componentes que carguen después. Esto lo saben perfectamente los desarrolladores de trampas. Por desgracia, el sistema operativo en el que funciona el juego se ejecuta hacia el final del proceso. Esto es lo que posibilita que las trampas se carguen pronto, obtengan más privilegios y se oculten en el sistema antes de que el SO o los programas que se ejecutan en él puedan defenderse.

Afortunadamente, ya existen funciones, como Secure Boot, VBS e IOMMU, que refuerzan la seguridad. En la mayoría de los casos, son muy eficaces a la hora de evitar este patrón de ataque, asumiendo que estén activas y funcionen correctamente.

La estrategia de Vanguard es simple: establecer un perímetro en torno al núcleo de Windows para asegurarse de que el sistema no se haya visto comprometido cuanto antes. Si una trampa se carga antes que nosotros, es más probable que pueda ocultarse en un lugar donde no la vayamos a encontrar. Esto brinda a las trampas la oportunidad de colarse y sembrar el caos en partida más tiempo del que nos gustaría.

El descubrimiento: Un portero dormido

¿Recordáis que, hace un momento, he dicho que existen funciones de seguridad muy eficaces siempre y cuando funcionen? Pues vamos a hablar de una de ellas, IOMMU.

Durante años, la forma más eficaz (y cara) de hacer trampas implicaba el uso de dispositivos de DMA (acceso directo a la memoria).

Las tarjetas de DMA son dispositivos de hardware que se conectan al ordenador y acceden a la memoria directamente, pasando por encima de la CPU y de Windows. Para detener estos dispositivos, dependemos de un elemento de hardware llamado IOMMU (unidad de gestión de memoria de entrada y salida). Pensad en IOMMU como si fuese un portero para la RAM: comprueba el ID de todos los dispositivos que intentan acceder a la memoria y expulsa a los que no estén en la lista de asistentes.

La "protección contra DMA previa al arranque" es una función de seguridad presente en la BIOS o el firmware de multitud de dispositivos, basándose en sistemas como IOMMU para evitar el acceso inadvertido de los dispositivos de DMA a la memoria de un sistema al principio de la secuencia de arranque. Esto trasmite al sistema operativo la confianza de que el sistema en el que se encuentra se inició con un nivel de integridad predecible. Lo cual es estupendo, en teoría... Sin embargo, también implica que el sistema operativo se ve obligado a confiar en la herramienta de seguridad.

Eso es justo lo que ha descubierto el equipo de investigación de Vanguard. En algunos casos, el firmware de fabricantes de hardware indicaba por error al sistema operativo que dicha función estaba totalmente activa, cuando en realidad no estaba iniciando IOMMU correctamente al principio del arranque.

Por este motivo, aunque los ajustes de la protección contra DMA previa al arranque aparecían activos en la BIOS, la implementación del hardware subyacente no estaba iniciando IOMMU en su totalidad durante los primeros segundos del proceso de arranque. Es decir, que básicamente el "portero" del sistema parecía estar currando, pero, en realidad, estaba echándose una siestecita. Para cuando el sistema se cargaba por completo, no podía estar totalmente seguro de que no se hubiesen inyectado códigos a través de DMA que comprometieran la integridad.

A un hardware sofisticado le basta con este breve periodo para colarse, inyectar un código y ocultarse antes de que Vanguard entre en acción.

La solución: Una actualización unificada

Unos meses atrás, explicamos lo que habíamos descubierto a nuestros colaboradores de hardware, que han puesto su granito de arena durante el proceso para validar el problema y desarrollar enormes actualizaciones de la BIOS para atajar esa brecha. 

No tenéis por qué fiaros de nosotros, podéis consultarlo en los avisos de seguridad de los principales fabricantes de hardware: 

Estas actualizaciones servirán para asegurarnos de que, cuando tengáis activas las funciones de seguridad, lo estén desde el primer milisegundo del arranque.

¿Qué hago si me salta una restricción?

El sistema de VAN:Restriction es la forma que tiene Vanguard de deciros que no podemos garantizar la integridad de vuestro sistema, debido a que las funciones de seguridad mencionadas están desactivadas. Eso impedirá que iniciéis VALORANT y se os mostrará una ventana emergente donde se os explicará qué es necesario habilitar para seguir jugando. Dichas restricciones se aplican a las cuentas a nivel del HWID cuando detectamos algún comportamiento sospechoso por parte del hardware o anomalías estadísticas. Dichas anomalías pueden producirse por diversos motivos, como la desactivación de las funciones de seguridad o, en este caso, el recién descubierto defecto del prearranque, que invalida IOMMU. El hecho de recibir uno de estos avisos no tiene por qué significar que sospechemos que hacéis trampas, sino que la configuración actual de vuestro sistema es demasiado similar a la de los tramposos capaces de sortear las medidas de seguridad a fin de volverse indetectables para Vanguard. 

Esta medida de seguridad mínima es crucial en la lucha contra los tramposos. En caso de que se os restrinja el acceso, se os pedirá habilitar las funciones mencionadas o actualizar el firmware de la placa base siguiendo la guía oficial del fabricante antes de jugar. Encontraréis más información sobre las restricciones en esta página del equipo de asistencia.

Además, estamos estudiando la posibilidad de implementar este requisito para todos los jugadores pertenecientes al nivel más alto de juego (Ascendente o más) para confirmar la existencia de medidas de seguridad básicas y fiables en la cumbre de la clasificación.

El objetivo

Actualizar la BIOS no resulta tan emocionante como ver las estadísticas de las suspensiones, pero es un paso necesario en la guerra contra quienes hacen trampas usando hardware. Al poner fin a este defecto de prearranque, neutralizaremos toda una clase de trampas que, anteriormente, resultaban intocables y haremos que jugar sucio se vuelva significativamente más caro.

Este dolor de cabeza supone toda una hazaña, y no solo para el equipo antitrampas y Riot Games, sino para toda la industria de los videojuegos. Si no hubiésemos detectado este problema, la tecnología encargada de detectar y prevenir trampas de DMA disponible a día de hoy en el mercado habría quedado anulada, incluyendo la de otras empresas de videojuegos, debido a que este tipo de trampas se ejecutan en una zona en la que los sistemas antitrampas no suelen estar presentes.

Si queréis adelantaros y disfrutar de una experiencia ininterrumpida, actualizad anticipadamente la placa base para instalar el firmware más actual desde la página web de su fabricante. Conseguir que toda la industria de los videojuegos preste más atención a la seguridad ha sido una de nuestras principales metas desde 2021.La adopción de medidas más severas resulta evidente en toda la industria, como se deja claro en artículos como este de Xbox: Construyendo un futuro de juego fiable: cómo la seguridad impulsa el juego limpio. En la lucha contra las trampas, estas medidas de seguridad básicas no son negociables. Nos enorgullece haber encabezado estos avances en seguridad y nos comprometemos a mantener un entorno competitivo fiable y en el que se juegue limpio para todo el mundo.

Os damos las gracias por el esfuerzo que supone mantener actualizado vuestro sistema. ¡Gracias por hacer de las partidas un lugar seguro y justo para todo el mundo! Poneos en contacto con el equipo de asistencia de Riot si experimentáis algún problema, y os guiaremos u os redirigiremos a los recursos del fabricante oficial.