Los investigadores han afirmado que el popular juego en línea Roblox sufre una serie de vulnerabilidades de seguridad que podrían haber comprometido los datos de más de 100 millones de jugadores, muchos de los cuales son niños.
Según un informe de CyberNews, Roblox es responsable de una serie de fallos “evidentes” en la seguridad, específicamente relacionados con la aplicación de Android.
Sin embargo, Roblox ha negado las acusaciones, declarando que la investigación se basó en un código inactivo y que las vulnerabilidades no eran graves en absoluto.
Un portavoz de Roblox contó a TechRadar Pro: “Nos tomamos en serio todos los informes, y este lo investigamos de inmediato en cuanto nos llegó en marzo. Nuestra investigación determinó que no existe una correlación entre estas afirmaciones y un riesgo real para la privacidad de los datos de los usuarios”.
“Una afirmación era inexacta y las otras tres se referían a un código inactivo que no se usó en la plataforma Roblox. Independientemente, eliminamos el código inactivo como parte de nuestro compromiso con la seguridad y la protección de nuestros usuarios”.
¿Problemas de seguridad en Roblox?
El informe de CyberNews señala que la aplicación expuso los datos de los usuarios a través de cuatro vías separadas: a través de configuraciones incorrectas en el archivo de manifiesto de Android de Roblox, algoritmos de hash inadecuados, susceptibilidad a la vulnerabilidad de Janus y claves API codificadas.
En conjunto, estos problemas supuestamente le valieron a la aplicación Roblox para Android una puntuación notablemente baja de 10/100 según el Mobile Security Framework, una prueba común utilizada para evaluar el rendimiento de seguridad de las aplicaciones móviles.
Aunque CyberNews reconoció que algunas de las lagunas de seguridad han sido reparadas en las últimas versiones, los investigadores creen que “la amenaza a la seguridad de los jugadores es muy real” y que los datos de los usuarios, como nombres y direcciones de correo electrónico, podrían verse comprometidos con relativa facilidad.
Si bien los problemas de seguridad son motivo de preocupación en cualquier contexto, esto es particularmente cierto en el caso de Roblox, al que juegan mayormente niños de entre 9 y 15 años.
Muchas regulaciones de protección de datos en todo el mundo, incluido el GDPR, contienen disposiciones específicas destinadas a mejorar la protección de los datos personales de los niños, lo que significa que las empresas como Roblox deben hacer un esfuerzo extra para proteger sus datos de los ataques.
Además, según CyberNews, el volumen de microtransacciones que tienen lugar en la plataforma Roblox, junto con la cantidad de usuarios jóvenes, hace que el juego sea un objetivo ideal para los ciberdelincuentes.
En una declaración compartida con los medios, CyberNews expresa su decepción por la mala calidad de las prácticas de seguridad de Roblox, pero también por la lenta respuesta de la compañía. Los investigadores afirman haber contactado a Roblox en múltiples ocasiones para advertir a la compañía de las vulnerabilidades, pero supuestamente no recibieron respuesta.
“Es preocupante ver una empresa con décadas de experiencia en desarrollo, millones de clientes y el presupuesto adecuado, desatendiendo la seguridad de esa manera”, dijo Mantas Sasnauskas, investigador principal de CyberNews.
“Hacemos un llamado a Roblox para que aborde los riesgos de seguridad de la plataforma como una prioridad máxima; estas prácticas de seguridad y privacidad deberían ser mucho más rigurosas y examinadas más a fondo, especialmente para un juego que tiene cientos de millones de usuarios”.
Actualización:
CyberNews ha declarado lo siguiente a TechRadar:
“Estamos contentos de que Roblox haya decidido eliminar la parte del código que, según ellos, estaba inactivo, y han tratado tres de los problemas que les planteamos. Creemos que esta es una gran reacción por parte de Roblox porque será beneficiosa para los usuarios. Y es una buena práctica no mantener activa una pieza de código redundante. De lo contrario, puede causar no solo problemas de rendimiento, sino también problemas de privacidad y seguridad, o incluso puede ser utilizado por gente sin escrúpulos”.