Anti-cheats vs ley: Riot y su “valentía de vanguardia”

Una de las principales preocupaciones de la industria, y que daña no solo a los estudios y publishers, sino también a los jugadores que lo sufren en los títulos enfocados al modo multijugador, es la existencia de determina individuos que tiene la imperiosa necesidad de manipular el juego o instalar ciertos programas que les hagan prácticamente imbatibles.  Como grandes ejemplos de estas conductas tan poco éticas tenemos: introducir artificialmente lag en el servidor para evitar que los disparos lleguen a impactar, volar por el escenario, modificadores de daño, visión a través de paredes y objetos (wallhack), fijación automática del resto de jugadores para no fallar un disparo o ataque (aimbot), o un poco de todo lo anterior a la vez (multi-hack).

Durante mucho tiempo se han instaurado varios sistemas para luchar contra ello (sin contar códigos como Dios manda de antitrampas o de conductas que no son tan comunes como deberían) con más o menos eficacia, como, por ejemplo, la colaboración de la comunidad a través de sistema de revisión de clips de posibles infracciones, monitorización de ciertos elementos durante las partidas, u obligación de conectarse a través de laucher específicos a los servidores del juego, entre otros.

Ante un panorama que no daba soluciones que eliminar completamente el problema, Riot (o más bien a la todopoderosa Tencent que está detrás) se ha puesto como meta convertir el imposible del riesgo cero en una certera. El resultado es una burrada tan grande, llamado Riot Vanguard, y que no hace falta llegar al umbral de una facultad de derecho para saber que no puede ser legal. Además de lo que hace, puede tener la consecuencia insidiosa de que el resto de actores del sector lo utilicen en sus propios títulos, creándose un panorama bastante desalador.

Cualquier comentario sobre el texto del artículo, o sobre detalles del funcionamiento de este u otros sistemas de anti-cheat, son bienvenidos por la vía que más rabia le dé al autor (RRSS o comentarios a este post).

¿Qué ha instaurado Riot para evitar a toda costa cualquier tipo de trampas o cheats?

La imagen de portada del post oficial ya nos da un indicio de que se acabaron las tonterías, y por el tamaño y tipo del arma, que los daños colaterales dan un poco igual. Justicia estilo Juez Dredd.

¿En qué consiste ese sistema tan invasivo?

En pocas palabras, la instalación de un programa que escanea los archivos de tu ordenador para localizar cualquier cheat, como paso previo y necesario para poder iniciar el juego, es decir, que tienes en tu ordenador un spyware permanente y con el máximo nivel de acceso que en segundo plano se decida a lo suyo, y en teoría, ese “lo suyo” es solo un rastreo de archivos, aunque no sabemos si queda copia de ello en los servidores o sistemas de la propia Riot.

Tras la legítima polémica, Riot ha implementado un icono visible que te permite desactivar (debería venir desactivado por defecto) el programita hasta que decida iniciar el juego, lo que no soluciona nada y solo va a crear una falsa sensación de control por el usuario tras haberle obligador a aceptar algo completamente discriminatorio y desproporcionado. Además de que, teniendo un perfil de acceso total, podrá bloquear cualquier programa que entre en conflicto con él creando brechas de seguridad en el propio dispositivo ¿Quién no se acuerda de tener que incluir como excepción de bloqueo en el firewall o antivirus al juego x para el launcher conecte con los servidores y poder jugar online?

Sin contar el consumo de recursos de tu sistema, claro.

Versión 2.0 explicada por la propia Riot en su perfil de Reddit. No nos bajamos del burro porque hemos visto la luz, pero toma un iconito pulsable para que te creas que tienes el poder sobre lo que hace un programa controlado por nosotros con perfil de administrador.
Ejemplo maravilloso del sistema bloqueándote cositas del sistema. Nada está a salvo del Ojo de Sauron,

¿Y todo esto está sirviendo para evitar que ciertas personas hagan trampas? Pues según los clips que circulan en redes, parece que no mucho. ¡Tanto orwellianismo para nada! Bueno, en realidad sí que ha servido para algo: para darle vidilla al derecho, y quién sabe si también para levantar a los colosos dormidos de las autoridades públicas en un escenario parecido al patinazo de las Loot Boxes y Star War Battlefront II.

¿Qué problemas legales trae este sistema anti-cheat?

Alguno que otro. A juicio de este jurista, dos principales de cierto calibre:

Protección de datos

Versionando la famosa frase de Widowmaker podemos decir que “nada escapa a la vista de la protección de datos”. Y aunque sueñe a coña es verdad, porque en casi todo se acaba tratando datos personales, más si cabe si es un programa totalmente automatizado que rastrea cual sabueso tu ordenador en busca de cualquier indicio en todos los rincones digitales del sistema, sin pensar demasiado en nada más (si lo hubieran hecho, no lo tendríamos entre nosotros).

A efectos, tenemos como elementos de valoración, en base al famoso Reglamento General de Protección de Datos (RGPD), los siguientes:

  • Dato personal: cualquier información que permite identificar a una persona, directa o indirectamente, especialmente los identificadores que se nos asigna de manera única: “en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
  • Tratamiento de datos personales: cualquier acción que se lleve a cabo con ellos y, en particular, las siguiente que nos recuerda el RGPD: “recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
  • Datos mixtos: para todos aquellos que piensen que el único dato personal tratado es ese seudónimo o identificador, tenemos los llamados datos mixtos, o la combinación de datos personales e información anónima en un único conjunto de datos. Lo gracioso de esto, es que el propio Reglamento de datos no personales (hermano gemelo del RGPD) nos recuerda que en la parte de datos se aplicará el RGPD, pero si no se pueden (siendo honestos, Riot no parece que lo vaya ni siquiera a intentar) se debe aplicar la normativa de protección de datos a todo ellos. Ojo ciudado con los metadatos de cualquier archivo que pueden decirte hasta el usuario que ha creado o modificado el mismo.

Aplicando estos criterios al caso concreto, y teniendo en cuenta que todavía no tenemos datos sobre el alcance del análisis que realiza, tenemos:

  • Datos personales en el identificador del usuario o nickname al que le vamos a vetar el acceso por hacer trampas (sin poder identificarlo sería un pelín complicado aplicar el castigo individualizado), en el propio perfil del usuario al que vamos a cascar, y en todos esos datos mixtos que se encuentran en los archivos rastreados.
  • Tratamiento de datos personales en esa acción de acceso o consulta de todos estos datos personales.

Y eso sin meternos en las peculiaridades de las decisiones totalmente automatizadas que afectan al jugado significativamente de manera similar a un efecto jurídico (al no permitirse acceder a ese servicio que has contratado a través de aceptar el EULA), ya que para esos temas tenemos dos artículos del mismo que suscribe estas palabras: uno más general: Protección de datos y videojuegos ¿también me tengo que preocupar de la protección de datos aquí? ; y otro más denso y enfocado en Big Data.: Big Data Invaders: datanoid edition.

Para poder llegar a valorar los posibles guantazos, tendríamos que tener más datos, pero a priori no parece que el tratamiento sea la opción menos invasiva para los derechos de los jugadores, que los principios de privacidad por diseño, defecto y minimización brillan por su ausencia, que no tenemos información de protección de datos específica con el alcance de lo que se va a realizar, y que, además, la medida no es efectiva ni proporcional para nada.

Delito de descubrimiento y revelación de secretos.

Aunque por el nombre no parezca que tenga ninguna relación con lo que hablamos, incluye también el mero acceso, sin estar debidamente autorizado, a información en soporte informático, electrónico telemático del artículo 197.2 del Código Penal (lo que se suele conoce como delito de hacking)

Captura de la parte que nos interesa del artículo sobre este maravilloso delito del Código Penal.

La clave en este caso, sería ese “debidamente autorizado”, ya que, aunque como jugador has tenido que tragar pulsando el botón, eso no resuelve ese pequeño matiz de que la autorización o consentimiento cumpla con los requisitos legales para sea válido o “debido”. En este caso no colaría, porque no existe una verdadera libertad para decidir si lo autorizas o no, y no se te informa claramente de lo que va a realizar ese programa con el suficiente detalle para que realmente.

Y para cerrar el círculo y ver que la protección de datos se expande como una plaga, el apartado 5 impone que se debe aplicar la pena en su mida superior si tratamos datos especialmente protegidos (no parece muy probable en nuestro supuesto), o sobre menores de edad (aquí ya es muy probable que si los tengamos dándole a Valorant, despúes de pasarse el día en Fornite).

Unido a la reforma que se realizó de propio Código Penal en 2015, la propia Riot podría ser responsable al haberse cometido por cuenta de la empresa y en su beneficio directo.

Captura de la parte que nos interesa del artículo sobre responsabilidad penal de la empresa del Código Penal.

¿Qué pasa con el resto de sistema anti-cheat que se utilizan actualmente?

Los principales sistemas que se utilizan en los grandes títulos, como por ejemplo Easy Anti-cheat (Fortnite, Apex Legends), Punkbuster (utilizando en título con algunos años de las Sagas Battlefield, Call of Duty o Far Cry), Battleye (PUBG, ARK Online o Conan Exiles), o FaceIT (Counter Strike: Global Offensive), juega, desgraciadamente más o menos a los mismo. La única diferencia es que dan un paso atrás y el rastreo de los archivos de tu dispositivo en 2º plano, lo hacen exclusivamente durante tu período de juego.

Todo lo dicho puede ser aplicable, porque al final se extralimitan de una manera similar al rastrearlo todo, aunque sin el recochineo total de Riot con su espía 24/7.

Conclusiones

  • El sistema no solo es feo, sino que suscita algunas dudas legales. Esperemos que solo acceda a los archivos y no se guarde copia de nada.
  • Tener juristas especializados en las compañías ahorra disgustos, y, también, daños reputacionales o marchas hacia atrás por creer que el fin justifica los medios.
  • Ninguno de los sistemas anti-cheat más utilizados en la actualidad inspira mucha confianza.
  • En Europa si el usuario no te consiente con libertad y siendo informado de lo que supone hacerlo, no tienes una patente de corso, en absoluto.

Deja una respuesta