Código malicioso en una ciudad virtual, el ataque a Cities: Skylines

Te explicamos por qué los mods de juegos pueden ser peligrosos con el ejemplo de los mods maliciosos para Cities: Skylines.

El 13 febrero de 2022, EuroGamer publicó un artículo en el que informan sobre la propagación de código malicioso entre los usuarios del juego <em>Cities: Skylines</em>. Dos días después, el artículo se actualizó: nadie se vio afectado negativamente; sin embargo, uno de los creadores del mod del juego intentó colar una puerta trasera en la tienda oficial. Revisamos este caso interesante de un ataque potencial serio a los gamers.

¿Qué es Cities: Skylines?

Una disculpa de antemano a los fans del juego, pero para todos los demás, es necesario hacer un resumen, ya que es importante para la historia. Cities: Skylines es un simulador de ciudad, y se ve algo así:

Captura de pantalla de Cities: Skylines

Cities: Skylines es la competencia y, en algunos aspectos, es el sucesor de la famosa serie SimCity de la década de los 90 y 2000, cuya historia (hasta ahora) terminó con un lanzamiento fallido en el 2013. Cities: Skylines fue lanzada en el 2015, hace mucho tiempo para los estándares del mundo en línea siempre cambiante, pero es poco probable que esto asuste a los fans.

En lugar de lanzar una serie nueva, los creadores prefirieron un enfoque con la modificación eventual del juego original, y lanzaron paquetes de expansión oficiales aproximadamente cada seis meses. Hace poco salió la versión núm. 13. Cada una de estas expansiones añade elementos nuevos al mundo virtual. Podría tratarse de edificios (ahora puedes construir un aeropuerto diseñado por ti mismo), fenómenos naturales, escenarios en desarrollo (ciudad “verde”), etc.

Las modificaciones no oficiales expanden el juego aún más. De hecho, cualquier jugador que disfrute en serio Cities: Skylines, con el tiempo comenzará a experimentar con los mods. Originalmente, el juego se diseñó para que fuera más fácil para los usuarios desarrollar y compartir modificaciones. Cualquiera puede cargarlas al directorio público Steam Workshop.

Con o sin mods o complementos, Cities: Skylines te permite construir tu propia ciudad. Dividir el terreno entre alojamiento, industria y comercio. Planear caminos y hacer frente al tráfico. ¡El juego es tan bueno y realista que las personas lo usan incluso para planear el sistema de transporte de una ciudad real!

Una ejemplo de un buen mod para Cities: Skylineses Traffic Manager: President Edition. Añade ajustes precisos a las funciones de construcción básica de caminos: puedes ajustar los semáforos, configurar la dirección de los carriles y los límites de velocidad, prohibir el estacionamiento, etc. Básicamente, el mod te permite hacer cosas que son esenciales para mejorar el tránsito, tanto en la vida real como en el juego.

En resumen, puedes jugar Cities: Skylines sin extensiones, pero pocos fans lo hacen, ya que un conjunto bien escogido de mods es una gran mejora para la jugabilidad y también la hace más conveniente. Para no hacer el cuento largo, si quieres la experiencia completa, utiliza mods.

Mods de venganza

Ahora, pasemos directamente a los eventos. El 10 de febrero de 2022, los creadores del ya mencionado mod Traffic Manager: President Edition, publicaron una advertencia sobre las extensiones maliciosas para el juego:

Los creadores de Traffic Manager: President Edition acusan al creador de otros mods de Cities: Skylines de distribuir malware.

La funcionalidad maliciosa fue relativamente inofensiva: la extensión cambió aleatoriamente los límites de velocidad de los caminos en el juego. Y no para todos los usuarios, si no solo para los “afortunados” que estaban en la lista del creador del mod. Esta lista incluye a los desarrolladores de Traffic Manager, los creadores del juego, y a otras personas sobre las que el creador de la lista tenía quejas reales o imaginarias.

Pero esto no es todo. En la misma publicación, el creador del mod conocido como Chaos o Holy Water intencionalmente eliminó la compatibilidad con otros mods. Debido a que Cities: Skylines tiene un gran número de modificaciones, necesita un mecanismo que evite los errores relacionados con mods en el juego. Los creadores del juego se conformaron con una verificación de compatibilidad muy sencilla: esperan que el desarrollador de mods revise todo por sí mismo, y que añada las extensiones incompatibles a una lista especial. Chaos/Holy Water se aprovechó de esta función y comenzó a añadir otras extensiones populares a la lista de incompatibilidades de sus propios mods.

Cuando los usuarios preguntaron al creador por qué el mod no era compatible con otras extensiones, y qué hacer, este citó la calidad deficiente del código de otros desarrolladores, y ofreció su propia versión de otra extensión, con una ligera modificación de la original. Así es como Chaos intentó popularizar sus modificaciones e incrementar la cantidad de sus propios complementos para cada usuario.

Si se criticaba al desarrollador, Chaos/Holy Water contraatacaba al añadir el ID de la plataforma Steam de los críticos a su “lista de enemigos” personal, lo cual introdujo errores arbitrarios en el desempeño del juego. Había un drama interno interesante entre los jugadores activos, pero nada serio que pudiera llamarse un ataque malicioso. ¡Pero esto todavía no es todo!

Puerta trasera del cien por ciento

El 14 de febrero de 2022, los desarrolladores de Cities: Skylines publicaron su descripción del incidente. En esta informan que las extensiones del autor se eliminaron del sitio Steam Workshop. Los creadores del juego insisten en que no había código malicioso en estas. Para aclarar, dijeron que no se encontraron registradores de pulsaciones de teclas, virus, software para minería de criptomonedas, o similares. Pero más adelante en el texto, se menciona brevemente la extensión “Update from GitHub” del mismo autor. ¿Y qué hizo este mod? Cambió el mecanismo de actualización de complementos del estándar (mediante Steam Workshop) a uno alternativo que actualiza los mods directamente del repositorio del creador en GitHub.

Y esta es la puerta trasera real: los usuarios que instalaron esta modificación junto con un par de otras modificaciones del mismo creador podrían haber terminado descargando y ejecutando código arbitrario en cualquier momento. En una situación como esta, solo puedes confiar en la consciencia del creador de la extensión (aunque dada la “lista de enemigos”, esto es claramente una mala idea).

Incluso si el creador de la puerta trasera no planea atacar a los usuarios de sus mods, el acceso a su cuenta de GitHub puede robarse y pueden vender su cuenta por sí mismos (como sucede con frecuencia, por ejemplo, con las extensiones del navegador). Finalmente, si ya se instaló un mod, lo más probable es que el usuario necesite eliminarlo de forma manual, pero no todos podrían hacerlo. Por fortuna, de acuerdo con los desarrolladores de <em>Cities: Skylines</em>, solo 50 personas se han visto afectadas esta vez.

Cómo protegerte de los mods peligroso para los juegos

Hay muchas maneras para que un usuario descargue malware disfrazado como un programa o juego “oficial”. Pero con las extensiones personalizadas, las cosas son más complicadas: por definición, se crean de manera “casera”, y el desarrollador del juego no puede controlar todas las modificaciones. Por lo tanto, a medida que expandes las capacidades de tu juego favorito, mantente alerta. Trata de instalar mods de fuentes oficiales, de ser posible. Y si el creador del mod te aconseja desactivar tu antivirus, en caso de que surjan problemas, piensa dos veces antes de hacerlo.

El incidente con los mods para Cities: Skylines finalizó, afortunadamente, sin mucho drama. El desarrollador malicioso fue vetado, y parece que no tenían la intención de causar un daño serio a los jugadores. Sin embargo, crearon un mecanismo complejo de penetración en las computadoras de los usuarios que explotaron las peculiaridades de la comunidad. Y, lo que es más importante, intentaron sacar a los usuarios del control de la plataforma oficial para distribuir mods.

En el peor de los casos, este tipo de puerta trasera podría utilizarse para entregar código malicioso que, por ejemplo, podría robar contraseñas del servicio de juegos o minar criptomoneda en la computadora del jugador. Rastrear la actividad de estos “programas shapeshifter” es una funcionalidad estándar de cualquier solución de seguridad de confianza. Además de esto, Kaspersky Security Cloud también incluye una función de modo de juego especial que proporciona protección con un impacto mínimo en el desempeño de la computadora. Así que, cuando experimentes con tu juego favorito, no olvides tomar precauciones.

Consejos