Acusan a Epic Games de espiar a los usuarios de Steam con su tienda
La guerra entre las tiendas virtuales de videojuegos solo acaba de empezar, donde la competitividad está alcanzando cotas nunca vistas. La guerra se centra ahora en la Epic Games Store, más concretamente en su «Epic launcher«, donde se ha descubierto que dicho lanzador espía la instalación de Steam para obtener una lista de archivos de nuestra Steam Cloud, donde se adueña de varios datos, como nuestra CPU o GPU.
Acceso a nuestros amigos en Steam y a nuestro historial de juego
Las críticas se han cernido esta vez contras Epic y su nueva tienda. Ha sido en los foros de Resetera y de la mano del usuario Madjoki, el cual ha podido comprobar que los rumores que estaban circulando por Internet son totalmente ciertos.
El launcher una vez ejecutado procede a obtener una lista de archivos de nuestro Steam Cloud, incluyendo juegos guardados.
Steam Cloud se almacena en: C:\Program Files (x86)\Steam\userdata\id asignado, de los cuales también leerá el archivo como copia cifrada que se encuentra en: C:\Program Files (x86)\Steam\userdata\id de usuario\config, y que tiene por nombre localconfig.vdf.
Dicho archivo se leerá, cifrará y luego escribirá copia en: C: \ ProgramData \ Epic \ SocialBackup \ RANDOM HEX CODE_STEAM ACCOUNT ID.bak
Este archivo contiene nuestros amigos de Steam, su historial de nombre, los grupos a los que pertenecen y prácticamente cualquier dato referente dentro de la denominación interna de Steam en cuanto a «amigo» se refiere.
Para entender que estaba pasando y exponerlo a la comunidad, Madjoki usó Microsoft Process Monitor, agregando el filtro «ProcessName EpicGamesLauncher.exe»
Así vio todo el proceso en tiempo real y pudo discernir qué estaba pasando: la información obtenida estaba siendo volcada la tienda de Epic.
Epic Games responde ante estas acusaciones
La respuesta de Epic no se ha hecho esperar, y es que estamos hablando de un asunto que no ha sentado nada bien a los usuarios.
Según afirma Epic, utilizan un píxel de seguimiento (tracking.js) para su programa Support-A-Creator, para así pagar a los creadores de videojuegos, haciendo al mismo tiempo un seguimiento de estadísticas de la página.
La función principal del Launcher es enviar una encuesta de hardware (CPU, GPU y «similares») en intervalos regulares, según muestra su política de privacidad, dentro de la sección “Information We Collect or Receive” y donde se facilita el código.
El tráfico UDP, prosiguen, es una función de inicio para la comunicación con el editor Unreal, pero podremos encontrar la fuente del sistema subyacente en github.
La mayoría del launcher utiliza la tecnología web representada por Chromium, de código abierto, donde para un inicio normal se necesita un certificado raíz y el acceso a las cookies mencionadas.
Al ejecutarse, el launcher escanea los procesos activos para evitar la actualización de los juegos que se están ejecutando actualmente, datos que no se envían a Epic.
Pero si admiten importar a nuestros amigos de Steam, siempre con nuestro permiso explícito. El launcher realiza una copia local encriptada de nuestro archivo «localconfig.vdf» de Steam (tal y como se ha comentado arriba), pero, este archivo solo se envía a Epic si elegimos importar a nuestros amigos de Steam.
Si damos permiso explícito para ello, solo se envían las identificaciones con hash de nuestros amigos, pero ninguna otra información del archivo.
¿Viola Epic la GDPR? ¿o es una práctica totalmente legal?
Muchos usuarios ya han puesto el grito en el cielo, acusando a Epic de violar la GDPR, pero lo cierto es que otros programas hacen algo similar.
Sin ir más lejos parece que Discord realiza un movimiento parecido para ofrecer la conectividad entre nuestros amigos de Steam y su interfaz y seguro que si echamos la vista atrás hemos visto esta práctica anteriormente.
No sabemos a ciencia cierta si esto viola la GDPR, pero lo que sí parece claro es que esto tendría que ser más transparente para el usuario, donde muchos ya han tachado a Epic Games Store como «tienda insegura«.
Esto es otra piedra en el camino de una tienda que no ha empezado nada bien, y que ya acumula demasiadas críticas para el tiempo que lleva online. ¿Pasará todo esto factura a Epic?
Tim Sweeney, fundador de Epic Games, entona el «mea culpa»
Por raro que parezca en los tiempos que corren, alguien ha dado la cara para reclamar su parte de culpa. En este caso ha sido Tim Sweeney, nada más y nada menos que el fundador de Epic Games, el cual ha entonado el mea culpa a través de un comunicado.
En él, Sweeney ha afirmado que, efectivamente, los usuarios tienen toda la razón, ya que solo deberían acceder al archivo localconfig.vdf después de que el usuario elija importar sus amigos desde Steam.
La implementación actual es debida a las prisas por implementar características sociales para Fortnite.
Tim asegura que es culpa suya que este launcher funcione de esta manera, ya que fue él el que empujó al equipo de desarrollo para que estuviese implementado así con la mayor celeridad posible.
Aun así, afirma que no utilizan la API de Steam, ya que trabajan para minimizar la cantidad de bibliotecas de terceros que incluyen en sus productos por conceptos de seguridad y privacidad.
Para finalizar, asegura que están trabajando para actualizar la implementación que solo toque el archivo de Steam si el usuario elige importar sus amigos a Epic Games Store.