HandyCafe Docs
owner it-admin

Seguridad y anti-cheat

HandyCafe incluye un sistema anti-cheat para el operador y de seguridad del cliente. Tiene dos partes: el panel de Seguridad, donde supervisas las detecciones y gestionas los baneos, y la página de configuración de seguridad, donde defines qué protecciones se ejecutan en los PCs cliente. Úsalo para blindar los procesos del cliente, detectar herramientas de trampas y depuradores, banear dispositivos por huella de hardware y comprobar si las cuentas de Steam vinculadas tienen baneos VAC.

Panel de seguridad

El panel de Seguridad está organizado en tres pestañas: Eventos de manipulación, Lista negra de HWID y Steam VAC. Haz clic en una pestaña en la parte superior del panel para cambiar entre ellas.

Eventos de manipulación

La pestaña Eventos de manipulación muestra un historial de las detecciones anti-cheat reportadas por los PCs cliente. Cada fila indica la Hora, la Computadora (nombre descriptivo con la dirección MAC mostrada debajo), la categoría del Evento, la Gravedad y una Descripción en lenguaje claro de lo que se detectó.

Usa la fila de filtros en la parte superior para acotar la lista. Puedes elegir una fecha (la vista muestra el día de hoy de forma predeterminada y vuelve a cargar los datos cuando la cambias), seleccionar una categoría, elegir una gravedad (Crítica, Advertencia o Información) y escribir en el cuadro Buscar por computadora o MAC. El botón Actualizar recarga los eventos. El contador junto a los filtros muestra cuántos eventos coinciden con los filtros actuales del total cargado.

Las categorías de eventos incluyen Escaneo de procesos, Escaneo de ventanas, Escaneo de controladores, Depurador, Editor de memoria, Inyector, Trampa de juego, Integridad del binario, Firma de código, Vigilancia de DNS y Manipulación de tiempo. Cuando no hay detecciones para la fecha seleccionada, el panel muestra No hay eventos de manipulación en esta fecha.

Lista negra de HWID

La pestaña Lista negra de HWID enumera los dispositivos baneados por huella de hardware (hash de HWID). La tabla muestra el Hash de HWID, la MAC de muestra, el Motivo, la Nota y la Hora. El contador en la parte superior muestra cuántos baneos existen.

Para banear un dispositivo, haz clic en Agregar baneo de HWID. En el diálogo, ingresa la MAC (con formato AA:BB:CC:DD:EE:FF), un Motivo obligatorio y una Nota opcional, luego haz clic en Agregar baneo. El servidor resuelve la MAC a la huella del dispositivo y registra el baneo. Usa Cancelar para cerrar el diálogo sin guardar.

Para levantar un baneo, usa la acción de eliminar en la fila (Quitar baneo). El botón Actualizar recarga la lista. Cuando no hay baneos, la tabla muestra No hay baneos de HWID.

Steam VAC

La pestaña Steam VAC comprueba las cuentas de Steam vinculadas de los miembros en busca de baneos VAC usando la Steam Web API.

Ingresa tu clave en el campo Clave de Steam Web API y haz clic en Guardar. La sugerencia indica: Necesaria para consultar baneos VAC. Obtén una en steamcommunity.com/dev/apikey.

En Barrido VAC, el botón Escanear ahora ejecuta un barrido manual. El barrido comprueba la cuenta de Steam de cada miembro vinculado en busca de baneos VAC y se ejecuta automáticamente cada día. El botón Escanear ahora permanece deshabilitado hasta que se guarda una clave de Steam Web API. El texto de estado muestra la hora del Último barrido, o Sin barridos todavía si no se ha ejecutado ninguno.

Configuración de seguridad del cliente

La página de configuración de seguridad del cliente controla qué protecciones aplica cada PC cliente. Está dividida en Blindaje de procesos y Monitor de manipulación.

Usa el interruptor principal Activar protección de seguridad del cliente para encender o apagar todo el sistema. Cuando está desactivado, el cliente no aplica ningún blindaje de procesos ni ejecuta sondas del monitor de manipulación. Un aviso debajo del interruptor señala que los binarios de HandyCafe Client, Server y Watchdog siempre están en la lista blanca y las protecciones nunca los marcarán. Las secciones detalladas solo aparecen cuando el interruptor principal está encendido.

Esta es una subpágina de configuración. Los cambios se confirman con el botón Guardar a nivel de página, no con un botón aparte dentro de la sección.

Blindaje de procesos

El Blindaje de procesos aplica políticas de autoblindaje del proceso al iniciar el cliente. Cada interruptor lleva una insignia de riesgo (RIESGO BAJO, RIESGO MEDIO o RIESGO ALTO) y un tooltip que describe lo que hace. Opciones disponibles:

  • Protección de memoria (DACL): Reemplaza el DACL del propio proceso para que los tokens sin privilegios de administrador pierdan el acceso de lectura, escritura y a hilos. Bloquea la conexión estándar de Cheat Engine.
  • DEP permanente: Mantiene la Prevención de Ejecución de Datos de forma permanente para que la pila y el montón permanezcan no ejecutables.
  • Prohibir código dinámico (RIESGO ALTO): Bloquea el JIT y las asignaciones ejecutables. Puede romper el JIT de shaders del controlador de GPU en algunos sistemas y provocar que la captura de pantalla y el control remoto fallen.
  • Política de firmas AppLocker/WDAC (RIESGO MEDIO): Hace que el proceso adopte tus reglas existentes de firma de binarios de AppLocker o WDAC.
  • Filtro de carga de DLL (RIESGO MEDIO): Bloquea la carga de DLL de imágenes remotas, prefiere System32 y bloquea imágenes de baja integridad. Puede romper algunos overlays de proveedores.
  • Bloquear AppInit_DLLs / IME: Bloquea los vectores de inyección AppInit_DLLs, IME y Winsock LSP.
  • Comprobación estricta de handles (RIESGO ALTO): Genera un error ante el uso incorrecto de un handle. Un fallo de higiene de handles en cualquier biblioteca de terceros hará que el proceso se bloquee.
  • Linux: bloquear ptrace: Impide la conexión de ptrace y de depuradores para usuarios sin privilegios de root en Linux.
  • macOS: denegar conexión de depurador: Rechaza cualquier conexión posterior de un depurador en macOS.

Monitor de manipulación

El Monitor de manipulación ejecuta sondas en segundo plano que escanean en busca de herramientas de trampas, depuradores e inyectores a intervalos aleatorios. Las detecciones aparecen en la pestaña Eventos de manipulación. Sondas disponibles:

  • Detección de Cheat Engine / editor de memoria: Escanea en busca de Cheat Engine, ArtMoney, MHS, ReClass y procesos similares de escaneo de valores.
  • Detección de depuradores / herramientas de RE (x64dbg, IDA, Ghidra): Detecta herramientas de ingeniería inversa.
  • Detección de inyectores de código (Process Hacker, Scylla): Detecta inyectores de código como Process Hacker, Scylla y kdmapper.
  • Detección de marcas de trampas (neverlose, aimware, etc.): Coincide con nombres de procesos de trampas comerciales conocidas y realiza consultas DNS de sus dominios.
  • Escaneo de controladores sospechosos: Detecta el abuso de controladores vulnerables. Nota: RTCore64 también lo usa MSI Afterburner, lo que puede generar falsos positivos.
  • Sonda anti-depuración: Comprueba las APIs comunes de presencia de depuradores y los puntos de interrupción de hardware.
  • Comprobación de integridad del ejecutable (SHA-256): Calcula el hash del propio ejecutable en cada barrido para detectar parches en disco.
  • Verificación de firma (WinVerifyTrust): Verifica la firma Authenticode. Mantén esto desactivado para las compilaciones beta sin firmar.
  • Monitoreo de consultas DNS (lista negra de dominios de trampas): Analiza la caché de DNS en busca de dominios conocidos de proveedores de trampas.
  • Escaneo de títulos de ventanas: Escanea los títulos de las ventanas para detectar procesos de trampas que renombran su binario para evadir la detección basada en nombres.

Intervalos de las sondas

Los campos Intervalo mínimo de escaneo (segundos) e Intervalo máximo de escaneo (segundos) controlan con qué frecuencia se ejecutan las sondas del monitor de manipulación. El cliente elige un intervalo aleatorio entre estos dos valores para cada barrido. El rango permitido es de 30 a 3600 segundos y el mínimo debe ser menor o igual que el máximo. Si los valores no son válidos, la página muestra el mensaje: El intervalo mínimo debe ser menor o igual que el máximo, y el guardado se bloquea hasta que los corrijas.