Los desarrolladores de un popular “MMO RTS sandbox de código abierto para entusiastas de la programación” disponible en Steam, llamado Screeps: World, se vieron obligados a actualizar su juego “para proteger tanto a los jugadores” como su “propia reputación”, tras el descubrimiento de una presunta “vulnerabilidad de ejecución remota de código” que permitiría a algunos usuarios tomar el control de las computadoras de otros jugadores. Para agravar la situación, la persona que ayudó a identificar la vulnerabilidad afirma que Valve “ignoró” el informe que presentó al respecto.
Si llama la atención la abundancia de comillas en el párrafo anterior, hay una razón clara: esta historia surgió a partir de un cruce particularmente tenso en X entre los desarrolladores de Screeps: World, Screeps, LLC, y un aficionado a la “seguridad informática” llamado Isaac King.
Según explicó King en su publicación inicial, Screeps: World aparentemente permitía que “cualquier otro jugador del mundo del juego obtuviera acceso remoto a tu computadora” mediante el uso de un exploit de programación. Como contexto, Screeps: World es un juego orientado a la programación que permite a los jugadores escribir su propio código en JavaScript, el cual se utiliza para crear unidades de inteligencia artificial personalizadas.
Al momento de escribir este artículo, el juego cuenta con una calificación de “Muy positivas” en Steam, tras reunir aproximadamente 1.876 reseñas y, de acuerdo con VG Insights, más de 113.000 compras individuales.
Quienes deseen conocer la explicación técnica exacta de la supuesta vulnerabilidad pueden consultar el análisis detallado que King publicó en su blog. No obstante, conviene advertir que se requiere al menos un conocimiento básico de JavaScript para comprenderlo en su totalidad.
Para facilitar la comprensión a quienes no programan, King incluye una analogía en la conclusión: “imagina que existiera un tipo específico de unidad en StarCraft que, si la entrenaras, permitiera a otras personas hackear tu computadora. Y cuando esto se señalara, los diseñadores del juego respondieran: ‘bueno, esto es autoinfligido, los jugadores eligieron entrenar esa unidad’”.
King también sostiene que los desarrolladores eran conscientes del problema desde julio de 2024, ya que uno de los dos desarrolladores de Screeps, LLC respondió a un informe en GitHub que detallaba la vulnerabilidad. En esa respuesta, el desarrollador afirmó que “no ve esto como una amenaza de seguridad grave”. Sin embargo, un usuario del Discord de Screeps señaló que la vulnerabilidad había sido explotada con éxito en el pasado.
Cuando la publicación inicial en X comenzó a ganar visibilidad, la cuenta oficial de Screeps respondió que la acusación era “como mínimo, una exageración sensacionalista y, en el peor de los casos, una difamación maliciosa destinada a causar daño reputacional”. Aun así, también indicaron que la presunta vulnerabilidad fue eliminada de Screeps: World a partir del 25 de enero.
Quizás el aspecto más preocupante sea que King afirmó en su blog haber reportado el problema directamente a Steam sin recibir respuesta alguna: “Reporté el juego a Steam, que por supuesto lo ignoró. Sus términos de servicio los eximen de responsabilidad por hackeos causados por malware en la plataforma, así que si el juego genera ventas de las que pueden obtener un porcentaje, ¿por qué harían algo al respecto?”.
Nos pusimos en contacto con Valve para corroborar esta información y actualizaremos el artículo en caso de recibir una respuesta.
Este artículo ha sido traducido de Kotaku US por Agustín Azcarate. Aquí podrás encontrar la versión original.
