- 3 min
- Seguridad, Videojuegos
-
Pablo Martínez
Grave vulnerabilidad en Call of Duty compromete la seguridad de miles de jugadores
Un relanzamiento con consecuencias inesperadas
A finales de junio de 2025, la versión para PC de Call of Duty: World War II fue incorporada al catálogo de Game Pass de Microsoft. El título, originalmente publicado en 2017 por Activision, volvió a estar disponible para una gran base de jugadores sin haber sido actualizado ni revisado en profundidad.
A los pocos días del relanzamiento, comenzaron a surgir múltiples reportes de comportamiento extraño en los equipos de los usuarios. Los síntomas incluían:
Ejecución automática de aplicaciones como Notepad o CMD
Aparición de imágenes o contenido inesperado en pantalla
Cierres abruptos del juego
Instalación silenciosa de software sin consentimiento
Todo esto apuntaba a un mismo origen: una vulnerabilidad crítica de ejecución remota de código (RCE) aún presente en el juego.
Un exploit activo en pleno 2025
La vulnerabilidad permite que un atacante ejecute comandos arbitrarios en el sistema de otro jugador sin necesidad de interacción directa. Basta con que la víctima comparta una partida multijugador (lobby) con el atacante para quedar expuesta. Este comportamiento no solo afecta la experiencia de juego, sino que compromete seriamente la seguridad del sistema operativo.
Cómo funciona el ataque
La explotación del fallo se apoya en varios elementos de diseño heredados del juego:
Matchmaking P2P con IP expuesta
El sistema multijugador utiliza un modelo peer-to-peer, lo que significa que cada jugador se conecta directamente con los demás. Esto expone las IPs y permite lanzar ataques dirigidos sin pasar por servidores intermedios.Ejecución con privilegios elevados
En muchos casos, el juego se ejecuta con permisos de administrador. Esto permite al atacante realizar acciones de alto impacto, como modificar el sistema, instalar archivos o reiniciar el equipo.Inyección de código durante la migración de host
Se ha detectado que el exploit se activa durante los cambios de host dentro de una partida. El atacante aprovecha ese momento de transición para inyectar código malicioso sin ser detectado.
Riesgos reales para los usuarios
El nivel de acceso que se obtiene a través del exploit es lo suficientemente elevado como para permitir:
Instalación de malware, troyanos o ransomware
Robo de documentos y credenciales almacenadas
Inclusión del equipo en redes de bots (botnets)
Persistencia mediante puertas traseras y tareas programadas
Todo esto ocurre sin que el usuario realice ninguna acción, y sin que exista un antivirus que necesariamente lo detecte de inmediato, dado que el ataque se ejecuta desde una aplicación aparentemente legítima.
¿Quién es responsable?
Aunque la vulnerabilidad proviene de una versión antigua del juego, desde octubre de 2023 Activision forma parte de Microsoft, tras su adquisición por más de 68.000 millones de dólares. Por tanto:
Activision es responsable del diseño inseguro del juego y de no haber corregido la vulnerabilidad.
Microsoft, como actual propietaria de Activision y distribuidora vía Game Pass, es responsable de haber reintroducido el software en 2025 sin una auditoría de seguridad ni pruebas de compatibilidad con los entornos actuales.
Sin solución oficial hasta el momento
Hasta la fecha de publicación, ni Activision ni Microsoft han lanzado un parche ni emitido una comunicación formal detallada. La única medida ha sido retirar temporalmente el juego del catálogo de Game Pass para PC, lo que evidencia que el problema es real, activo y potencialmente grave.
Lecciones para el mundo IT y de ciberseguridad
Este incidente pone de manifiesto riesgos comunes pero evitables en la gestión de software heredado y la seguridad en plataformas de distribución digital. Las lecciones más importantes que deja este caso incluyen:
Reintroducir software antiguo sin auditoría es un riesgo crítico
El uso de arquitecturas P2P sin aislamiento ni control es altamente vulnerable
Ejecutar aplicaciones con privilegios innecesarios multiplica el daño potencial
Los entornos modernos exigen una gestión activa del código legado
La confianza en proveedores debe ser limitada: Zero Trust siempre
Conclusión
Lo que parecía una simple reaparición de un juego clásico ha terminado siendo un caso real de exposición masiva a ciberataques. El incidente demuestra que incluso productos de entretenimiento deben cumplir con estándares estrictos de seguridad, y que los errores del pasado no desaparecen: solo se trasladan al presente si no se gestionan de forma responsable.
Este caso no es un fallo puntual, es un ejemplo claro de por qué la ciberseguridad no puede ser una ocurrencia tardía en el desarrollo, mantenimiento y distribución de software.
La ciberseguridad nunca ha sido tan fácil
Descubre el ecosistema de soluciones de gestión IT y ciberseguridad de Soterguard. Diseñado para facilitar las tareas de gestión, mantenimiento y seguridad relacionadas con la infraestructura digital de las empresas.
