Entrevista a Carles Pons, director de tecnología de Akamon Entertainment

A raíz del informe de seguridad en videojuegos publicado en Diciembre, hoy tenemos un post-entrevista con el director de tecnología de Akamon Entertainment, Carles Pons.

Para poner en situación a nuestros lectores empezaremos comentando que Akamon cuenta con una de las plataformas de juegos sociales online más importantes de España (Mundijuegos.com) con más de 9 millones de usuarios registrados, con presencia en más de 7 países y funcionando en varios idiomas.

Carles, con una comunidad de usuarios así de grande y variopinta seguro que os enfrentáis a incidentes de seguridad de todo tipo (phishing, robo de cuentas, ingeniería social)… ¿Qué tipos de ataques son los más generalizados?

Tenemos bastante variedad, aunque nada distintos de los que suelen ocurrir otras plataformas online: perfiles falsos para suplantar a usuarios, robo de cuentas, intentos de phishing, intentos de recargar fichas de forma fraudulenta, ataques de fuerza bruta…

Cuando los ataques se dirigen contra los usuarios y no contra vosotros ¿cómo enfocáis la protección de los usuarios?

Como es habitual, si hablamos de seguridad el usuario siempre es el eslabón más débil. Hacemos muchas campañas de concienciación, tanto en nuestros portales como en las redes sociales, recordando que nunca se les pedirá la contraseña, obligamos a utilizar contraseñas robustas, bloqueamos a los usuarios tramposos… En definitiva, intentamos hacer que el usuario sea consciente de que la seguridad también depende de él.

Con tantos usuarios ¿cómo detectáis y actuáis ante posibles “tramposos” cuando no se está recibiendo un ataque puramente tecnológico?

Tenemos un equipo de gestión de usuarios y soporte al cliente que rápidamente detecta los intentos de hacer trampas, y en ese caso siempre procedemos con el bloqueo de los tramposos. Su experiencia es lo que nos permite detectar los casos más graves y tomar las medidas oportunas. Además, a menudo son los propios usuarios quienes nos denuncian las acciones fraudulentas de otros usuarios, y nuestro equipo de soporte actúa para esclarecer los hechos y proceder según cada situación.

¿Recibís ataques sofisticados, o son más bien “intentos cutres” de ataque?

Hasta ahora no hemos recibido ataques sofisticados, generalmente son ataques muy fáciles de detectar, en algunos casos hechos con aplicaciones de hacking que circulan por Internet. Para que te hagas una idea, alguna página de phishing que hemos encontrado estaba alojada en blogspot o similares, y los ataques de fuerza bruta no son nada discretos por lo que son muy fáciles de detectar. No obstante, no nos podemos relajar, así que estamos atentos ante posibles ataques más sofisticados que puedan llegar.

Por el tipo de juegos que tenéis damos por supuesto que gran parte de vuestro público puede ser gente poco habituada a usar un PC y menos a hacer pagos por Internet. ¿Cómo conseguís que personas mayores o usuarios que en su vida han comprado por Internet se fíen de enviar SMS premium o utilizar otros medios de pago por internet?

Creo que ya no es cierto eso de que no saben comprar online o no se fían de los SMS Premium. Por suerte, los concursos televisivos han ayudado mucho a superar esa barrera, y la gran mayoría de los usuarios ya no son reacios a utilizar el SMS. Además, conforme van cogiendo confianza con los pagos online acaban utilizando otros medios como la tarjeta de crédito o Paypal.

Este tipo de usuario ¿os suponen una fuente importante de incidentes o es menos caótico de lo que puede parecer?

La verdad es que tenemos muchos menos incidentes de los que se podría pensar para una comunidad tan grande, en parte porque intentamos ponérselo todo muy fácil al usuario. Hace algunos años, cuando usábamos Shockwave, la mayoría de consultas venían por culpa de los plugins y problemas con el navegador, pero ahora casi todos nuestros juegos están en Flash y prácticamente no hay incidencias de este tipo. También es verdad que cada vez los usuarios son más expertos en el uso de la tecnología.

Hemos visto que usáis muchísimas pasarelas de pago. Ya que gran parte de vuestros ingresos entrarán a través de estos servicios, ¿Cuál es vuestra percepción al tener que delegar en terceros la realización de los pagos?

Todos los pagos en nuestras plataformas se realizan a través de pasarelas de pago de terceros. Por un lado, delegar en terceros nos descarga de toda la gestión de datos de los usuarios y negociaciones con entidades bancarias, así que no nos supone ningún problema. Al fin y al cabo no dejan de ser proveedores como cualquier otro.

¿Y en cuanto a la disponibilidad? En enero hubo una caída importante de los servicios de Paypal. ¿Cómo os afectan estas incidencias?

En estos casos estamos cubiertos por SLA’s que incluyen incluso compensaciones por caídas no previstas, además de que tenemos tantos servicios de pago que siempre se puede seguir utilizando la plataforma.

¿Esperáis alguna solución a corto-medio plazo para facilitar y mejorar la seguridad y comodidad de los pagos por internet (NFC, DNI electrónico, lectores de tarjetas con chip en los PCs, etc.)?

De momento no es una de nuestras necesidades, pero cualquier solución que haga que los pagos sean más cómodos y seguros será bienvenida.

Hablando de servicios de terceros, hemos visto que utilizáis servicios de alojamiento de Amazon. ¿Qué ha motivado la migración a la nube? ¿Es una decisión para ahorrar recursos, ganar calidad, o derivar dolores de cabeza (mantenimiento y capacidad de los sistemas)?

Principalmente era una cuestión de estabilidad y capacidad, y estamos francamente contentos. El cambio principal para nosotros ha sido la mejora en escalabilidad: necesitamos un servicio que nos permita crecer acorde con las necesidades en tiempo real de nuestras plataformas, y Amazon nos permite gestionar los picos de tráfico o los cambios en que se puedan producir en cada momento en nuestro servicio con la mayor fiabilidad.

¿Merece la pena la pérdida de control sobre los sistemas a cambio de estabilidad y potencia?

En realidad no pierdes el control, es más, ganamos más datos de comportamiento de los sistemas. Y como ya he dicho, en escalabilidad y en estabilidad.

Volvemos al tema de los juegos: prácticamente todo el negocio de Akamon depende de vuestros juegos los cuales están hechos en Flash. Recuerdo que hace pocos años casi todos estos juegos podían “trampearse” con relativa facilidad a base de modificar variables con Cheat Engine, descompiladores de Flash, manipulando las peticiones, etc. ¿Cuál es el panorama actual de la tecnología Flash con respecto a la seguridad de las aplicaciones?

Hoy en día este tipo de problemas ya no existen. Basta con mover toda la lógica de los juegos a la parte del servidor por lo que cualquier petición o valor que se manipule en el cliente, a la hora de validarse en el servidor se detectará y corregirá. Desde el reparto de cartas, el número de tiradas, los valores que sacan los dados, el número de casillas a moverse,… todo se calcula en el servidor por lo que está a salvo de este tipo de ataques.

¿Hasta qué punto tenéis que estar al día con vulnerabilidades y exploits para Flash?

Evidentemente hay que estar al día así que es clave estar siempre actualizados. Por suerte, cada vez que sale una vulnerabilidad en Flash generalmente esta afecta a los clientes que ejecuten un Flash malintencionado por lo que no nos afectan. De todos modos, utilizamos un servidor Flash desarrollado por nosotros mismos, así que las vulnerabilidades que puedan surgir para Flash Media Server o similares tampoco nos afectan. Aparte nos mantenemos actualizados en temas de seguridad visitando foros y boletines especializados, pero más como inquietudes personales que por vulnerabilidades de nuestra plataforma.

Comments

  1. Me ha gustado muchisimo la entrevista, menudo genio Carles Pons

  2. Ter y porque no hablar de lo q hacéis en bingo q robais a cara descubierta. Y sobre todo en salas grandes metéis usuarios de vuestro equipo y os lleváis todo q estafa

Trackbacks

  1. […] A raíz del informe de seguridad en videojuegos publicado en Diciembre, hoy tenemos un post-entrevista con el director de tecnología de Akamon Entertainment, Carles Pons. Para poner en situación a n…  […]