Saltar al contenido

BRECHAS DE SEGURIDAD DENTRO DE LA INDUSTRIA DE LOS VIDEOJUEGOS, a cargo de Pedro de Mendizábal Vázquez

AD 118/2020

Resumen:

La industria de los videojuegos sigue evolucionando a pasos agigantados, y por ello, las compañías cuya actividad se encuentra dentro de dicho sector, deberán estar en continua adaptación de las condiciones de los tratamientos de datos que llevan a cabo.

Es evidente, que, si las compañías de videojuegos llevan a cabo un tratamiento de datos personales, se encuentran expuestas a una posible brecha de seguridad, por lo que deberán adoptar una actitud proactiva y hacer frente mediante la implementación de medidas técnicas y organizativas. 

Palabras clave: 

Esports, videojuegos, gaming, cloud, gameplay, publisher, privacidad, big data, mobile, streaming, YouTube, Twitch, brecha de seguridad, ciberseguridad, protección de datos, MMORPG, MOBA, Free2play, phishing. 

1. Introducción: 

El Reglamento General de Protección de Datos (RGPD), siendo aplicable a partir del ya conocido, 25 de mayo de 2018, indica que las empresas, así como las compañías de videojuegos que lleven a cabo un tratamiento de datos, deberán garantizar su cumplimiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento además del riesgo para los derechos y libertades de los jugadores. 

La actitud proactiva se convierte en un elemento fundamental a la hora de supervisar de forma constante los tratamientos de datos personales, tanto como por las compañías de videojuegos, como responsables del tratamiento, así como por sus proveedores, como encargados del tratamiento.

El RGPD, añade como requisito a los responsables del tratamiento para demostrar con el cumplimiento de la normativa de protección de datos, la notificación de las violaciones de seguridad que supongan un riesgo para los derechos y libertades de los usuarios o jugadores a la autoridad de control, que, en el caso de España, hablaríamos de la Agencia Española de Protección de Datos (AEPD). 

2. Definición, tipos y alcance de las brechas de seguridad:

El RGPD, en su artículo 4.12) define, de un modo amplio, las “violaciones de seguridad de los datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

La brecha de seguridad solo se aplica en la medida que afecte a datos de carácter personal, y como consecuencia, que la compañía de videojuegos no cumpla con lo establecido en el RGPD. Es importante destacar, que a pesar de que todas las brechas de seguridad se consideran incidentes como tal, no todos los incidentes son necesariamente brechas de datos personales. 

Las brechas de seguridad se podrían catalogar de la siguiente manera:

  • Brecha de confidencialidad: puede surgir cuando una de las partes no dispone de autorización o legitimación suficiente para acceder a la información. La gravedad de la pérdida de confidencialidad dependerá del alcance de la divulgación. 
  • Brecha de integridad: surge cuando se altera la información original, de tal modo que pueda llegar a ser perjudicial para el usuario. El escenario más grave surge cuando los datos alterados se hubiesen utilizados con intención de dañar al usuario o jugador. 
  • Brecha de disponibilidad: se produce en aquellos casos en los que no se puede acceder a la información original cuando es preciso. Para este caso, puede ser de carácter temporal, es decir, los datos se podrán recuperar tras un periodo de tiempo y que puede ser perjudicial para el usuario, o también existe la posibilidad de que fuese permanente, con la imposibilidad de recuperar la información original. 

Cabe destacar que, la gestión de una brecha de seguridad exige definir la peligrosidad del incidente y la estimación del alcance a los usuarios o jugadores. Para ello, será necesario llevar a cabo el análisis de riesgos o evaluación de impacto antes de dar comienzo de las actividades de tratamiento.

Podríamos valorar la magnitud de la brecha de seguridad teniendo en cuenta los siguientes elementos:

  • La categoría en cuanto a los sistemas afectados: siguiendo una catalogación de crítico, muy alto, alto, medio y bajo, dependiendo de si afecta a una información de carácter vital para la empresa o simplemente a un volumen mínimo de datos.
  • Naturaleza y sensibilidad de los datos afectados: alcanzando una clasificación dependiendo de si son datos de escaso riesgo (datos de contacto o del perfil del jugador), datos de comportamiento (localización, tiempo dedicado en el videojuego, hábitos y preferencias), datos financieros (tarjeta asignada a la cuenta del jugador, facturas o ingresos), y datos sensibles (datos biométricos o de salud, entre otros).
  • Datos legibles/ilegibles: dependiendo del nivel de protección y de seudonimización, como puede ser mediante cifrado o hash.
  • Volumen de datos personales: en relación a la cantidad y al periodo de tiempo.
  • Identificación del usuario: facilidad para identificar al jugador partiendo de los datos afectados por la brecha de seguridad.
  • Severidad de las consecuencias: siguiendo una clasificación básica de baja a muy alta, dependiendo de si crea un inconveniente para el usuario, o que el mismo jugador se tenga que enfrentar a una situación con consecuencias irreversibles.
  • Características especiales de los usuarios: para aquellos casos que afecten a jugadores con necesidades especiales.
  • Número de usuarios afectados: siguiendo una escala numérica, valorando el número de usuarios afectados.
  • Características especiales de la compañía de videojuegos en sí, en base a su actividad. 
  • Perfil de los usuarios afectados: en relación a su posición dentro de la estructura de la entidad, referente a sus datos de acceso a información confidencial.
  • Número y tipología de los sistemas afectados.

La definición de brecha de seguridad, al igual que los tipos y su alcance definidos previamente, se encuentran desarrollados de una manera más extensa en la guía para la gestión y notificación de brechas de seguridad elaborada por la Agencia Española de Protección de Datos. 

3. Brechas de seguridad y videojuegos:

Una vez aclarado el punto anterior, cabe destacar nuevamente, la importante de que las compañías de videojuegos adopten una serie de medidas, tanto a nivel técnico u organizativo, ya que al estar en constante auge son el objetivo de numerosos ataques o posibles vulneraciones de seguridad. 

Dentro del sector de los videojuegos podemos destacar lo siguiente brechas hasta el momento, y como las compañías procedieron tras detectarlas:

  • PlayStation (2011): la plataforma de Sony se vio afectada tras recibir varios ataques por parte de Anonymous como protesta por la lucha antipiratería de la compañía. El ataque expuso los datos de más de setenta y siete millones de jugadores. 

Por otra parte, Information Commisioner’s Office (ICO), organismo británico encargado de velar por la normativa de protección de datos, impuso una sanción de 250.000 libras por no realizar las oportunas mejoras en los sistemas de seguridad. 

  • Ubisoft (2013): la desarrolladora de videojuegos comunicó a los usuarios que eran objeto constante de ataques a sus sistemas de seguridad. Los hackers consiguieron acceder a la información de cincuenta y ocho millones de jugadores. Sin embargo, la empresa francesa, comunicó a los usuarios que los datos de las tarjetas de crédito y débito estaban a salvo porque la propia empresa no almacenaba dicha información en sus servidores. 

Tras solventar la incidencia, recomendaron a los usuarios que cambiasen la contraseña de sus correos electrónicos, tanto la de su plataforma Uplay, como la de cualquiera similar con la que se hubiesen dado de alta con el mismo correo electrónico.

  • Fornite (2019): la empresa de ciberseguridad Check Point, tal y como emitió en un comunicado, descubrió tres vulnerabilidades en las cuentas de Epic Games, compañía propietaria de Fornite, dejando expuestos los datos de los jugadores además de sus tarjetas de crédito. 

El ataque se produjo mediante el control de las cuentas con la posibilidad de comprar con la moneda virtual V-Buck, pudiendo así realizar compras en nombre del jugador y escuchar conversaciones durante las sesiones de juego. La vulnerabilidad surgió por los defectos encontrados en varios de los subdominios de Epic Games que eran susceptibles a una redirección maliciosa.

  • Roblox (2020): la información de casi cien millones de jugadores quedó comprometida después de que un empleado de la empresa diese acceso al hacker al panel de ayuda al consumidor. De este modo, el hacker pudo acceder, resetear y modificar las contraseñas de los jugadores.

La compañía, tras detectar la incidencia, adoptaron medidas con carácter inmediato además de notificarlo a los usuarios. 

  • Nintendo (2020): la compañía japonesa tuvo una brecha de seguridad durante tres semanas mediante un bug o error por el cual se podía acceder a los datos los usuarios, y de ese modo, se podían gastar el saldo de los jugadores.

Por ello, y tras emitir un comunicado, Nintendo, activó la verificación en dos pasos mediante la introducción de contraseña y verificación con Google Authenticator, de este modo, si el jugador quiere acceder a la cuenta deberá introducir la contraseña además del código generado aleatoriamente.

4. Actuación ante una brecha de seguridad:

Como se ha podido ver en el punto anterior, la gestión de la brechas de seguridad parte de que, en todas las compañías, se tienen incidentes de seguridad, y por ello, se debe proceder a gestionar en mayor en menor medida, dependiendo de cada caso.

Ahora bien, todas las empresas o compañías de videojuegos, que actúan como responsables o encargados del tratamiento, deben tener un sistema establecido para saber cómo proceder ante una brecha de seguridad. Para ello, el artículo 33 del RGPD, establece que se deberá documentar correctamente señalando la naturaleza, consecuencias y medidas adoptadas entre otras. 

Entre los pasos a seguir para actuar ante una brecha de seguridad se encuentran el de detección, identificación y clasificación. Es por ello, que se debe partir de la detección del origen del incidente de seguridad mediante un sistema de proceso continuo de detección, tanto a nivel interno (notificación de los empleados, recepción de correos electrónicos inadecuados o extracción de dispositivos) como externo (comunicación de los usuarios o jugadores, proveedores u organismos públicos).

El siguiente paso consiste en la identificación, de este modo, la compañía podría clasificar entre brecha de seguridad o incidencia. La diferencia entre ambos consiste en que la brecha de seguridad afecta a datos de carácter personal mientras que la incidencia se engloba dentro de una terminología más genérica.

Posteriormente, la compañía deberá valorar la peligrosidad siguiendo los puntos de nivel crítico, naturaleza, volumen y categoría de los datos afectados además de las consecuencias para los jugadores o usuarios.

Por ello, el responsable o encargado del tratamiento deberá adoptar un plan de contingencia o de actuación, utilizando los recursos humanos y materiales que estén a su alcance adoptados a las diferentes actividades de tratamiento que hubiesen sido afectadas por el incidente o brecha de seguridad.

El plan de actuación deberá seguir los siguientes pasos:

  • Contención: toma de decisiones y elaboración de estrategia para dar una respuesta a medida. Podrán ser con carácter inmediato o de manera progresiva en función del desarrollo del incidente. En este punto es relevante definir quienes serán los responsables asignados, calcular los tiempos estimados y los efectos esperados.
  • Erradicación: consiste en la eliminación de los efectos producidos por la incidencia o brecha de seguridad (por ejemplo: eliminación del malware o desactivación de las cuentas vulneradas). En este punto se deberá valorar si es de carácter temporal o permanente según las medidas aplicadas y la información afectada. El objetivo fundamental de dicho punto consiste en que la vulnerabilidad no vuelva a ocurrir en un futuro.
  • Recuperación: una vez finalizado el paso previo de erradicación y verificadas las medidas adoptadas, se deberá confirmar el funcionamiento correcto de las actividades afectadas por la incidencia. Además, se deberá implantar una serie de controles periódicos que permitan un proceso de seguimiento.
  • Notificación: acorde a lo establecido en el artículo 33 del RGPD, si la brecha de seguridad afecta a datos de carácter personal, la compañía de videojuegos, actuando como responsable del tratamiento, notificará la brecha de seguridad a la autoridad de control competente (AEPD) sin dilación indebida y, de ser posible, a más tardar 72 horas después de que hubiese tenido constancia de ella. Salvo que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Además, cabe señalar que, según el artículo 34 de la misma normativa, en algunos casos se deberá notificar a los interesados.

5. Conclusión: 

Las compañías de videojuegos deberán llevar a cabo un control adecuado y adoptar una postura preventiva a medida que adoptan su modelo de negocio al mercado actual. Este punto será clave debido a que, si no adoptan las medidas oportunas, podrían ser sancionados con multas de hasta 20 millones de euros o hasta un 4% de su facturación anual, tal y como recoge el artículo 83 del RGPD.



 

Captura de pantalla 2020-08-04 a las 19.59.56.png

Pedro de Mendizabal Vázquez

Licenciado en Derecho por la Universidad Complutense de Madrid, Master en Propiedad Intelectual e Industrial por la Universitat de Barcelona. Actualmente, forma parte del equipo de PRODAT Madrid, realizando labores de consultoría, auditoría y asesoramiento legal en materia de Nuevas Tecnologías.

Sitio web: www.gamerlaw.es

LinkedIn:  https://es.linkedin.com/in/pedrodemendizabalvazquez

Deja un comentario

A %d blogueros les gusta esto: