- 3 min
- Seguretat, Videojocs
-
Pablo Martínez
Greu vulnerabilitat a Call of Duty compromet la seguretat de milers de jugadors
Un rellançament amb conseqüències inesperades
A la fi de juny de 2025, la versió per a PC de Call of Duty: World War II va ser incorporada al catàleg de Game Pass de Microsoft. El títol, originalment publicat el 2017 per Activision, va tornar a estar disponible per a una gran base de jugadors sense haver estat actualitzat ni revisat en profunditat.
Al cap de pocs dies del rellançament, van començar a sorgir múltiples reportis de comportament estrany als equips dels usuaris. Els símptomes incloïen:
Execució automàtica d’aplicacions com ara Notepad o CMD
Aparició d’imatges o contingut inesperat a la pantalla
Tancaments abruptes del joc
Instal·lació silenciosa de programari sense consentiment
Tot això apuntava a un mateix origen: una vulnerabilitat crítica dexecució remota de codi (RCE) encara present en el joc.
Un exploit actiu en ple 2025
La vulnerabilitat permet que un atacant executi ordres arbitràries en el sistema d’un altre jugador sense necessitat d’interacció directa . Només cal que la víctima comparteixi una partida multijugador (lobby) amb l’atacant per quedar exposada. Aquest comportament no només afecta lexperiència de joc, sinó que compromet seriosament la seguretat del sistema operatiu.
Com funciona l’atac
L’explotació de la decisió es recolza en diversos elements de disseny heretats del joc:
Matchmaking P2P amb IP exposada
El sistema multijugador utilitza un model peer-to-peer, cosa que significa que cada jugador es connecta directament amb els altres. Això exposa les IPs i permet llençar atacs dirigits sense passar per servidors intermedis.Execució amb privilegis elevats
En molts casos, el joc sexecuta amb permisos dadministrador. Això permet a l’atacant realitzar accions d’alt impacte, com ara modificar el sistema, instal·lar fitxers o reiniciar l’equip.Injecció de codi durant la migració de host
S’ha detectat que l’exploit s’activa durant els canvis de host dins d’una partida. L’atacant aprofita aquest moment de transició per injectar codi maliciós sense ser detectat.
Riscos reals per als usuaris
El nivell d’accés que s’obté a través de l’exploit és prou elevat per permetre:
Instal·lació de malware, troians o ransomware
Robatori de documents i credencials emmagatzemades
Inclusió de l’equip a xarxes de bots (botnets)
Persistència mitjançant portes del darrere i tasques programades
Tot això passa sense que l’usuari realitzi cap acció, i sense que hi hagi un antivirus que necessàriament ho detecti immediatament, atès que l’atac s’executa des d’una aplicació aparentment legítima.
¿ Qui n’és responsable?
Tot i que la vulnerabilitat prové d’una versió antiga del joc, des de l’octubre del 2023 Activision forma part de Microsoft , després de la seva adquisició per més de 68.000 milions de dòlars. Per tant:
Activision és responsable del disseny insegur del joc i de no haver corregit la vulnerabilitat.
Microsoft, com a actual propietària d’Activivision i distribuïdora via Game Pass, és responsable d’haver reintroduït el programari el 2025 sense una auditoria de seguretat ni proves de compatibilitat amb els entorns actuals.
Sense solució oficial fins ara
Fins a la data de publicació, ni Activision ni Microsoft no han llançat un pegat ni emès una comunicació formal detallada. L’única mesura ha estat retirar temporalment el joc del catàleg de Game Pass per a PC , cosa que evidencia que el problema és real, actiu i potencialment greu.
Lliçons per al món IT i de ciberseguretat
Aquest incident posa de manifest riscos comuns però evitables en la gestió de programari heretat i la seguretat en plataformes de distribució digital. Les lliçons més importants que deixa aquest cas inclouen:
Reintroduir programari antic sense auditoria és un risc crític
L’ús d’arquitectures P2P sense aïllament ni control és altament vulnerable
Executar aplicacions amb privilegis innecessaris multiplica el dany potencial
Els entorns moderns exigeixen una gestió activa del codi llegat
La confiança en proveïdors ha de ser limitada: Zero Trust sempre
Conclusió
El que semblava una simple reaparició d’un joc clàssic s’ha acabat sent un cas real d’exposició massiva a ciberatacs. L’incident demostra que fins i tot productes d’entreteniment han de complir estàndards estrictes de seguretat, i que els errors del passat no desapareixen: només es traslladen al present si no es gestionen de manera responsable.
Aquest cas no és una fallada puntual, és un exemple clar de per què la ciberseguretat no pot ser una ocurrència tardana en el desenvolupament, manteniment i distribució de programari.
La ciberseguretat mai no ha estat tan fàcil
Descobreix l'ecosistema de solucions de gestió IT i ciberseguretat de Soterguard . Dissenyat per facilitar les tasques de gestió, manteniment i seguretat relacionades amb la infraestructura digital de les empreses.
