Para comprender cómo funcionan las trampas, es necesario comprender a su adversario: el anti-trampas. Los sistemas de protección modernos son conjuntos de software complejos que operan en múltiples niveles simultáneamente. Analicemos cómo funcionan desde adentro.

Dos niveles operativos: modo de usuario y modo kernel

Todos los anti-trampas se pueden clasificar según su nivel de privilegio.

Anti-trampas en modo de usuario

Operan al mismo nivel que los programas normales (Anillo 3). Pueden:

  • Escanear procesos: buscar trucos conocidos por firmas (hashes de archivos, cadenas de memoria)
  • Comprobar la integridad de los archivos: comparar sumas de comprobación de archivos del juego con valores de referencia
  • Supervisar el acceso a la memoria: realizar un seguimiento de qué procesos leen la memoria del juego
  • Comprobar ventanas: buscar superposiciones colocadas sobre el juego

Limitación: un anti-trampas en modo de usuario no puede ver lo que sucede en el kernel. Un truco a nivel de kernel puede ocultarse por completo de dicho escáner.

Anti-Trucos en modo kernel

Operan en el nivel del kernel del sistema operativo (Anillo 0), el mismo nivel donde se ejecutan los controladores de dispositivos. Esto les proporciona capacidades prácticamente ilimitadas:

  • Acceso total a la memoria, incluida la memoria del núcleo donde se pueden ocultar los trucos
  • Interceptación de llamadas al sistema: seguimiento de todo el acceso a la memoria, los archivos y el registro
  • Inspección de controladores: búsqueda de controladores no autorizados o vulnerables
  • Monitorización previa al juego: parte de la carga al iniciar Windows
  • Detección de procesos ocultos, incluso si un truco oculta su proceso, un anti-trampas en modo kernel puede encontrarlo

Los anti-trampas en modo kernel incluyen: Vanguard (Valorant), EAC (Easy Anti-Cheat), BattlEye, Ricochet (Call of Duty).

Métodos de detección principales

1. Escaneo de firmas

El método más antiguo y básico. El antitrampas mantiene una base de datos de firmas: secuencias de bytes únicas características de trampas conocidas. Durante el escaneo, busca coincidencias en:

  • Módulos y DLL cargados
  • Memoria de proceso del juego
  • Archivos en el disco
  • Controladores del kernel

Evitar: los desarrolladores engañan ofuscan el código (cambian firmas) con cada actualización. Esta es la razón por la que los tramposos que ingresan a la base de datos de firmas obtienen el estado Detectado: el antitrampas conoce su "huella digital" única.

2. Monitoreo de memoria

El anti-trampas rastrea qué procesos y controladores acceden a la memoria del juego:

  • Enganches API: funciones de interceptación como ReadProcessMemory, WriteProcessMemory
  • Protección de la página de memoria: configuración de indicadores especiales en regiones críticas de la memoria del juego
  • Notificaciones de devolución de llamada: registro de notificaciones para la creación de nuevos procesos. creación de hilos, carga de módulos

3. Comprobaciones de integridad

El sistema antitrampas verifica que el código y los recursos del juego no se hayan modificado:

  • Hashes de sección de código: sumas de verificación de secciones ejecutables comparadas con valores de referencia
  • Detección de ganchos: búsqueda de funciones modificadas (instrucciones jmp/llamada que no deberían estar ahí)
  • Comprobaciones IAT/EAT: las tablas de importación/exportación no deben contener sustituciones

4. Verificación de controladores

Controladores del sistema de control anti-trampas en modo kernel:

  • Lista blanca/lista negra: controladores permitidos y prohibidos mediante hash o firma
  • Verificación de firma: Windows requiere firmas para la carga de controladores (Arranque seguro + DSE). Los trucos evitan esto mediante controladores firmados vulnerables (BYOVD) o mapeo
  • Detección de controlador mapeado: búsqueda de código en el kernel que no está registrado como un controlador legítimo

5. Análisis de comportamiento

Los anti-trampas modernos van más allá del escaneo: analizan el comportamiento del jugador:

  • Anomalías estadísticas (porcentajes de disparos a la cabeza inhumanos, seguimiento perfecto a través de las paredes)
  • Análisis de entrada: patrones de movimiento del mouse, velocidad de reacción, uniformidad de pulsaciones de teclas
  • Comprobaciones del lado del servidor: el servidor compara las acciones del jugador con lo que "debería ver" (visibilidad del enemigo, tiempo de reacción)
  • Aprendizaje automático: algunos anti-trampas (Ricochet) utilizan modelos de aprendizaje automático para identificar comportamientos atípicos

El análisis de comportamiento explica por qué incluso un truco no detectado puede dar lugar a una prohibición si se usa de manera demasiado agresiva.

Principales antitrampas: detalles

Easy Anti-Cheat (EAC)

Juegos: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finals, Hunt: Enfrentamiento

Nivel: Modo kernel

Características clave:

  • El componente del kernel se carga con el inicio del juego
  • Escaneo agresivo de la memoria del kernel
  • Actualizaciones frecuentes de la base de datos de firmas
  • Recopilación de telemetría del sistema
  • Verificación de la integridad de los archivos del juego

EAC es uno de los anti-trampas más extendidos. Su punto fuerte reside en la frecuencia de actualización: se añaden nuevas firmas periódicamente, lo que hace la vida más difícil a los desarrolladores de trampas. Guía detallada de EAC →

BattlEye

Juegos: Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

Nivel: Modo kernel

Clave características:

  • Controlador de kernel con acceso profundo
  • Escaneo activo en modo de usuario y en modo kernel
  • Heurística del lado del servidor: análisis de comportamiento en el lado del servidor
  • Lista negra de controladores vulnerables
  • Sistemas de baneo instantáneo y de ondas

BattlEye es conocido por su trabajo agresivo en el lado del cliente: inspecciona en profundidad el sistema y utiliza numerosas devoluciones de llamadas para el seguimiento. Guía detallada de BattlEye →

Vanguard

Juegos: Valorant

Nivel: Modo kernel (se carga al iniciar Windows)

Características clave:

  • Se inicia al iniciar el sistema operativo, no cuando se inicia el sistema operativo. el juego se inicia, pero cuando la computadora se enciende
  • Requiere arranque seguro y TPM
  • Bloquea los controladores vulnerables antes del inicio del juego
  • Monitorea el sistema continuamente
  • Prohibiciones instantáneas para trampas detectadas

Vanguard es el antitrampas más agresivo convencional. Su carga de arranque temprana hace que pasar por alto sea mucho más difícil que la competencia. Guía detallada de Vanguard →

Ricochet

Juegos: Call of Duty (Warzone, MW, BO6)

Nivel: Modo kernel + lado del servidor

Características clave:

  • Lado del cliente a nivel de kernel driver
  • Componente de servidor con ML (aprendizaje automático para análisis de comportamiento
  • "Castigo" en lugar de prohibiciones instantáneas) puede activar Damage Shield y reducir la visibilidad de los tramposos
  • Cambia los métodos de detección cada temporada

La singularidad de Ricochet radica en su enfoque en el lado del servidor. Incluso si el componente del cliente no detecta el truco, el análisis del servidor puede identificar a un tramposo por su comportamiento. Guía detallada de Ricochet →

VAC (Valve Anti-Cheat)

Juegos: CS2, Team Fortress 2, Dota 2

Nivel: Modo de usuario

Características clave:

  • Se ejecuta completamente en modo de usuario (Anillo 3)
  • Escaneo de firmas de procesos y módulos
  • Prohibiciones de ondas: recopila datos en silencio, las prohibiciones en masa semanas/meses después
  • Sin componente a nivel de kernel

VAC parece más suave que sus competidores, pero su estrategia de "recopilación silenciosa" es engañosa: un truco puede funcionar durante semanas y luego llega una ola de prohibiciones. Complementado con Overwatch (análisis de repetición del jugador) y VACNet (sistema ML para CS2).

Lo que los antitrampas saben sobre su sistema

Los antitrampas en modo kernel recopilan amplia información:

  • HWID: identificadores de disco, placa base, tarjeta de red, GPU y RAM
  • Lista de procesos: todos en ejecución programas
  • Controladores cargados — lista completa con hashes
  • Programas instalados — a través del registro
  • Windows — lista de ventanas y sus propiedades
  • Conexiones de red — conexiones activas

Esta información se envía a servidores anti-trampas para su análisis. Esta es exactamente la razón por la que un HWID falsificador es una parte fundamental de la protección.

Evolución: de las firmas a la IA

Los anti-trampas se están volviendo más inteligentes:

  • década de 2000: escaneo puro de firmas, modo de usuario
  • década de 2010: controladores en modo kernel, ampliados telemetría
  • Década de 2020: aprendizaje automático, análisis de comportamiento, comprobaciones del lado del servidor, carga de arranque temprana

La tendencia es clara: el análisis de comportamiento del lado del servidor se está volviendo más importante que el escaneo del lado del cliente. Esto significa que incluso un tramposo perfectamente enmascarado puede ser descubierto mediante un juego sospechoso. Es por eso que el comportamiento adecuado en el juego es tan importante como la calidad del truco.

Cómo afecta esto a la selección de trucos

  • Anti-trampas en modo de usuario (VAC) → incluso un simple truco externo puede pasar desapercibido durante mucho tiempo
  • Modo kernel sin arranque temprano (EAC, BattlEye) → requiere un truco a nivel de kernel o DMA
  • modo kernel con arranque temprano (Vanguard) → en el caso más difícil, DMA es la opción más confiable
  • Análisis del lado del servidor (Ricochet) → la indetectabilidad técnica no es suficiente; es necesario un juego legítimo

Más información sobre los tipos de trampas y su interacción con los anti-trampas: Cómo funcionan los trucos.

Catálogo IVSOFTE: trucos con el estado actual de cada anti-trampas. Buscar catálogo →