Parece que las preocupaciones sobre la seguridad del popular juego Fortnite para Android estaban bien fundadas, aunque no necesariamente por las razones que algunas personas podrían haber esperado.

Epic Games fue criticado por no distribuir el juego a través de la tienda oficial Google Play. La decisión se explicó por el 30% de comisión que se lleva la tienda de Google (como la de Apple o la de Microsoft) por cada venta, lo que para la desarrolladora suponía un “problema de eficiencia” en términos económicos. También buscaba “un trato más directo con sus clientes”, según comentó, aunque curiosamente la versión para iOS sí fue publicada en la tienda oficial de Apple.

La exclusión del juego de la tienda oficial llevó a Google a mostrar advertencias a cualquier usuario que realizara búsquedas sobre el juego, indicando los riesgos de seguridad que conlleva la descarga e instalación de un juego como este fuera de la tienda oficial, aunque se tratase de una distribución desde el portal web oficial de Epic Games y la necesaria habilitación en el terminal de instalación de aplicaciones de fuentes desconocidas.

Y lo anunciado sucedió, aunque fue peor de lo esperable porque el fallo llegó de la misma desarrolladora. Una semana después del lanzamiento, un ingeniero de Google reveló que la primera versión del instalador de Epic tenía un grave fallo de seguridad que ponía en riesgo a los usuarios de Android. 

El fallo se localizaba en el instalador que se almacenaba en la unidad externa y solo verificaba que el nombre del APK fuera el correcto (“com.epicgames.fortnite”), por lo que un atacante podría utilizar un ataque “man in the disk” para potencialmente instalar cualquier tipo de software malicioso.

Fortnite para Android: problemas comerciales y de seguridad

El ingeniero de Google explicó la característica que Epic Games debería haber usado, reconoció el fallo y publicó una nueva versión que lo solventaba. Además, solicitó a Google que esperara 90 días antes de publicar la información. Como era de esperar, Google publicó el fallo de inmediato, explicando que el tiempo de divulgación más corto es solo una política normal cuando se soluciona rápidamente una situación: el período oficial de divulgación pública es de 90 días o antes si el proveedor publica una solución.

El CEO de Epic Games, Tim Sweeney, no estaba muy contento con la divulgación temprana de la vulnerabilidad y ha criticado a Google por su “decisión irresponsable de poner en peligro a los usuarios”.

El ejecutivo ha comentado “apreciar el esfuerzo de Google para realizar una auditoría de seguridad en profundidad de Fortnite para Android y compartir los resultados con Epic para que pudiéramos publicar rápidamente una actualización para corregir el error que descubrieron”.

“Sin embargo, fue irresponsable de Google divulgar públicamente los detalles técnicos del fallo tan rápidamente, mientras que muchas instalaciones aún no se habían actualizado y aún eran vulnerables”.

Sweeney va más lejos y da a entender que el caso es consecuencia de su decisión de no lanzar el juego en la tienda oficial y asegura que Google “ha puesto en peligro a los usuarios en el transcurso de sus esfuerzos contra la distribución de Fortnite fuera de Google Play”.

Sin entrar en las razones comerciales y la actuación de Google que cita el desarrollador y que parece claro ha influido en todo este caso, lo cierto es que el fallo en el instalador es muy grave y ello es responsabilidad absoluta de Epic Games.