Los activos de terceros de la Creator Store (Caja de herramientas) son una fuente común de riesgos de seguridad, ya que pueden contener scripts maliciosos llamados puertas traseras. Estos scripts otorgan a sus creadores acceso no autorizado del lado del servidor a tu experiencia, lo que les permite manipular su estado, robar datos sensibles o interrumpir la experiencia para tus jugadores.
Las puertas traseras son particularmente peligrosas porque a menudo aparecen en modelos que, de otro modo, parecen legítimos. Un edificio o vehículo aparentemente inocente podría contener un script que se activa cuando se cumplen ciertas condiciones, como cuando un jugador específico se une o se ejecuta un comando particular. Cuando un modelo contiene scripts, esto se indica en la interfaz de usuario de la Caja de herramientas antes y durante la inserción.
Roblox modera los Modelos en busca de scripts maliciosos tanto de manera proactiva como en respuesta a informes, pero este proceso no garantiza eliminar todos esos scripts.
Protegiendo tu juego
La defensa más efectiva contra las puertas traseras es el uso de un entorno aislado. Cuando insertas un modelo, debes contener sus scripts para evitar que el código malicioso acceda a APIs sensibles o afecte sistemas fuera del modelo en sí.
- Establece SandboxedInstance en Experimental en Workspace.
- En la ventana de Propiedades, establece la propiedad Sandboxed del modelo en true.
- Configura la propiedad Capabilities para otorgar solo los permisos específicos que el activo necesita para funcionar.
Ten especial cuidado al otorgar capacidades de Red, DataStore, AssetRequire, CapabilityControl o LoadString a activos de terceros a menos que entiendas exactamente por qué el activo las necesita. Estas capacidades proporcionan acceso a sistemas poderosos que las puertas traseras suelen explotar.
Antes de usar cualquier activo, inspecciona cuidadosamente sus scripts. Presta especial atención al código ofuscado o inusualmente complejo. Los actores maliciosos a menudo usan técnicas engañosas para ocultar contenido dañino, como usar espacios en blanco para posicionar código malicioso fuera de la vista cuando se visualiza en el editor de estudio. Considera favorecer activos de comunidad altamente valorados que han sido evaluados por otros desarrolladores, aunque recuerda que la popularidad no garantiza la seguridad. Para una guía completa sobre cómo configurar restricciones de scripts, consulta Capacidades de Scripts.