1

Amenazas Internas en La Industria del Videojuego

Nos encontramos en el que es ya el último post sobre amenazas internas. Ya hemos visto todos los puntos clave para tener en cuenta cuando hablamos de amenazas internas, por lo que en este caso he decidido traer el texto a mi propio terreno y por eso voy a hablar de la industria de los videojuegos. Puede sonar raro de primeras, pero es una industria donde las filtraciones están a la orden del día y aunque algunas se produzcan por ataques externos la gran mayoría son realizadas por empleados de la empresa. No solo ocurren este tipo de amenazas internas en las desarrolladoras, sino que también surgen este tipo de problemas en las distribuidoras de videojuegos. En este post voy a intentar explicar cuál es la situación de esta industria respecto a este tipo de amenazas, como reaccionan ante ellas las empresas y que creo yo que tendría que hacerse para mejorar la situación.

Las filtraciones son algo arraigado a la cultura de la industria del videojuego y son el pan de cada día. Algunas filtraciones es cierto que provienen de ataques externos pero la gran mayoría son de empleados que sacan información a la luz a través de internet. La gran mayoría de proyectos que se anuncian suelen filtrarse con días, semanas incluso meses de antelación. En este caso hablamos de filtraciones de información, no del propio producto, que también se dan, pero ya hablaremos más delante de eso. Las filtraciones pueden ser tanto de información plana como título del juego y su descripción o tanto de fotos o video sacados claramente con un teléfono móvil. ¿Cómo llegan estas filtraciones a internet? Fácil, los empleados de las empresas de videojuegos han estrechado lazos durante años con diferentes periodistas de prensa especializada y lo más normal es que en estas noticias de filtraciones se hable siempre de una fuente secreta dentro de la compañía. Como ejemplo pondría una cuenta de Twitter, @Nibellion que suele ser quien saca a la luz gran parte de la información filtrada. Como ya hemos visto en los anteriores posts una de las razones de que los empleados decidan actuar de esta manera es que sienten que su empresa no los trata como debería. En mi experiencia y viendo cómo se actúa en la industria del videojuego, con temas como el Crunch del cual hable en otro post que también está disponible en este blog [1], lo más sensato es pensar que estas filtraciones son la manera de vengarse de los empleados. Como apunte rápido, el Crunch es como se denomina a la explotación laboral en esta industria y es algo que está arraigado en la propia planificación de los proyectos. También se dan el caso de filtraciones no intencionadas que ocurren en los eventos cuando desarrolladores y periodistas realizan cenas o fiestas ya que estos primeros se van de la lengua y sueltan información privilegiada. Incluso la propia empresa ha podido llegar a cometer errores publicando un mensaje en Twitter que no debían publicar hasta más adelante.

Desde la perspectiva del jugador no creo que se perciban estas filtraciones como algo dañino para la empresa ya que muchas veces ayudan a crear expectativas, pero es cierto que desde las empresas se ve en algunos casos como un daño irreparable. No son dañinas a nivel monetario para la empresa, pero si fuerzan a cambiar un poco las dinámicas de marketing de esta. Según Jeffrey Kaplan, vicepresidente de Blizzard Entertaiment, los que sufren estas filtraciones son los artistas y el equipo de trabajo detrás de ese proyecto. Habla sobre cómo les afecta moralmente a ellos el haber estado trabajando en algo y que días antes de poder enseñarlo se filtre toda la información. El ejemplo que dan es el del tráiler del Fortnite: Chapter 2, que se filtró una copia a baja calidad lo cual desmoralizó a todo el equipo de trabajo al ver que el proyecto en el que tanto habían invertido se presentaba de esa manera [2]. Otro caso lo podemos ver en el mando de WII U que se filtró días antes de su presentación en la feria E3 en Los Ángeles, lo cual provocó que la presentación de Nintendo no tuviera el impacto esperado sobre los posibles clientes [3]. Aunque se tome como un daño incalculable también es cierto que en muchos casos ha funcionado como un marketing excelente.

Aparte de estas filtraciones de información, también existen otras mucho más serias y que ya sí afectan muy negativamente a las empresas. Hablamos de cuando se filtra el juego en sí y los usuarios pueden acceder a él sin tener que pagar, es decir de forma ilegal. Estas filtraciones no suelen darse en la desarrolladora si no en las tiendas que se encargan de distribuir el producto. Las tiendas suelen recibir los juegos días antes de su venta para poder tener todo preparado para el día de salida, lo que lleva a que algunos empleados puedan filtrar tanto información como el propio código fuente del juego. Un caso bastante sonado fue el de “Super Smash Bros: Ultimate” que llegó a filtrarse semanas antes de su lanzamiento. Se hizo uso de un cartucho mexicano del juego para extraerlo y distribuirlo por la red, de esa manera muchos usuarios pudieron disfrutar del juego antes de su lanzamiento de manera ilegal, lo que supone no solo una filtración de información sino una pérdida de ventas por parte de la compañía [4]. También se dan filtraciones involuntarias como pudo ser el caso de “Yakuza 6” donde la compañía publicó una demo que ocupa 36GB y resultó ser el juego completo. Es cierto que tenía una protección para que solo se pudiera acceder al contenido de la demo, pero los jugadores consiguieron saltársela y acceder gratis a todo el contenido [4].

Personalmente, y viendo la información recopilada en anteriores posts, creo que las empresas tendrían que controlar más a sus empleados, eso sí sin privarlos de su privacidad. Creo que tendrían que controlar más el uso de tecnología que no sea de la propia empresa, como teléfonos móviles o USB. Otro punto importante está en el trato hacia los empleados, que seguramente si llegase a mejorarse no se crearían estas situaciones en las que un empleado decide filtrar información. En cuanto al tema de filtraciones de código fuente por parte de distribuidores creo que es más complejo y difícil de solucionar. Podrían apurar más las fechas de envío a tiendas, pero es cierto que podría llegar a generar retrasos en los lanzamientos y tener impacto negativo en los compradores. Este problema por ejemplo a la hora de enviar copias de prensa antes de tiempo está solucionado a base de poner identificadores en cada copia del juego para saber de dónde vendría la filtración, pero esto a gran escala sería inviable y seguramente sea más caro que dejar que las filtraciones ocurran.

En conclusión, las amenazas internas están muy arraigadas en la industria del videojuego y es algo a lo que se le tendría que poner freno. Quedarse con la idea de que algunas filtraciones no dañan a la empresa si no a la moral del equipo de trabajo, lo cual puede repercutir negativamente en el producto final. He de añadir que estas infiltraciones también nos dañan a los jugadores ya que arruinan las sorpresas que las compañías tienen preparadas y de las que tanto disfrutamos.

REFERENCIA

[1] <<Crunch>>, PublicaTIC, acceso el 24/11/2020, https://blogs.deusto.es/master-informatica/crunch/

[2] <<Filtraciones: ¿Marketing o daño a las empresas desarrolladoras?>>, PLAYERONE, acceso el 24/11/2020, https://www.playerone.vg/2020/06/13/filtraciones-industria-videojuegos-estudios/

[3] << Las 10 filtraciones de videojuegos más sonadas>>, IGN España, acceso el 24/11/2020, https://es.ign.com/reportaje/94010/feature/las-10-filtraciones-de-videojuegos-mas-sonadas

[4] << Cómo se filtran los videojuegos antes de su lanzamiento >>, HZ(Hardzone), acceso el 24/11/2020, https://hardzone.es/2019/01/20/filtran-videojuegos-ser-lanzados/




Riesgos de las amenazas internas

Ya hemos hablado sobre qué son las amenazas internas en el primer post y en el segundo hemos comentado la importancia que tienen hoy en día. En este tercer post vamos a ver qué riesgos acarrean las amenazas internas. En el segundo se comento el tema monetario ya que salir de una de estas amenazas cuando se producen es muy caro, pero también trae consigo otros problemas más allá del dinero y que pueden ser a largo plazo.

Las amenazas internas están muy ligadas a los datos y a la ciberseguridad. Puede que el propio interno robe los datos y los saques de la empresa para venderlos, sacarlos a la luz o algún otro tipo de acto criminal. También puede crear una puerta de acceso a un cibercriminal, el cual si nos descuidamos puede llegar a hacerse con el control de la empresa de forma silenciosa y cuando nos demos cuenta ya no podremos echarle. Si el atacante externo consigue meterse en la empresa a través del interno pueden surgir infinidad de problemas muy serios.

Aunque la gran mayoría de riesgos sean muy peligrosos también los hay con menos importancia, todo depende que haga el atacante interno. Un riesgo de bajo nivel por ejemplo sería que el atacante robara los correos electrónicos de clientes, trabajadores e incluso de terceros y los vendiera a una empresa que los meta en su lista para enviarles spam. En este caso la probabilidad de que suceda podría ser alta ya que el spam es algo que se practica mucho y es sencillo hacerte con los correos electrónicos, pero, aunque sea probable el daño no sería muy grave ya que se trataría de simple spam algo que puede regularse y evitarse con filtros antispam de forma sencilla. Otro riesgo a tener en cuenta serían las filtraciones de información al ámbito público, con esto me refiero a filtrar información sobre productos sin anunciar o por ejemplo planos. Depende de la situación de la empresa puede ser de mayor o menor impacto, el ámbito que yo manejo son los videojuegos y en ese caso a finales del producto ni te expone a que una empresa copie tu producto. Pero si hablamos en casos como Intel, el hecho de que se filtre información sobre cómo funciona internamente tu nuevo modelo de procesador puede llegar a ser un gran golpe. Este mismo año hemos visto una filtración de más de 20GB de información de Intel y en videojuegos es el pan de cada día [1]. Podría decirse que el impacto es variable pero la probabilidad de que ocurra es muy alta.

Gran parte de los riesgos que surgen de estos atacantes pueden tener un impacto devastador en la empresa. Para empezar porque como ya hemos visto en los datos del post anterior pueden salirles caro monetariamente a la empresa. Microsoft menciona seis puntos clave sobre esto en el manual de Microsoft 360 [2].

  • Fugas de datos confidenciales y derrame de datos: Es un riesgo con impacto elevado y con una probabilidad muy alta. Buscando información sobre este tipo de amenazas es el riesgo más comentado. Al hablar sobre amenazas internas la fuga de datos es el problema número uno de la lista.
  • Violaciones de confidencialidad: Va un poco ligado al anterior, aunque no tiene porque haber una fuga, un interno podría simplemente acceder a información confidencial para su propio beneficio o el de terceros. Aquí también entraría el hecho de que el imponer medidas para evitar estas amenazas que puedan capar la privacidad del interno.
  • Robo de propiedad intelectual (PI): Ya lo he comentado al hablar sobre las filtraciones, puede ser devastador para una empresa perder o que su propiedad intelectual se haga pública.
  • Uso de información privilegiada: El acceso de los trabajadores y personas vinculadas a la empresa tendrían que estar capados según su nivel dentro de la misma. Un empleado con más acceso del necesario podría hacer uso de esta información privilegiada para realizar alguna de las anteriores acciones o incluso comer fraude.

Es fácil imaginarse el daño que puede crear un empleado a su propia empresa. Pensad que un empleado descontento podría incluso llegar a dañar el hardware de la propia empresa o los servidores y hacer que pierdan su infraestructura y con eso sus datos. Con la información a la que puede acceder si no se toman medidas de acceso adecuadas podría llegar a cometer fraude y robar millones a la empresa. Incluso podría utilizar los recursos de esta para actos criminales. Un simple empleado enfadado o descuidado puede causar muchos problemas a la empresa.

En conclusión, existen muchos riesgos asociados a las amenazas internas ya que los internos pueden ser capaces de realizar muchos tipos de actividades ilegales o no permitidas dentro de la empresa y causar un gran impacto dentro de la misma. En mi opinión diría que existen muchos riesgos de impacto muy alto asociados a este tipo de amenazas por lo que tenerlas bajo control es fundamental, los controles a aplicar será algo del próximo post.

Referencias

[1]<< Una filtración en Intel revela 20
GB de documentos internos confidenciales de la empresa>> , Xataka, acceso
el 3 de noviembre de 2020, https://www.xataka.com/seguridad/filtracion-intel-revela-20-gb-documentos-internos-confidenciales-empresa

[2]<< Insider risk management in
Microsoft 365>>, Microsoft, acceso el 3 de noviembre de 2020, https://docs.microsoft.com/en-us/microsoft-365/compliance/insider-risk-management?view=o365-worldwide