Monitoreo y automatización para servidores de videojuegos con Splunk y N8N

Charla sobre seguridad en servidores de Minecraft en el contexto de Salta Game Jam. Integramos Splunk y n8n no solo para detectar anomalías sino para automatizar respuestas inmediatas como baneos y expulsiones.

Detalles

En esta presentación, titulada "Monitoreo y automatización de servidores de videojuegos", expuse junto a mi compañero Román Cuéllar. El proyecto se centró en aplicar los pilares de la observabilidad y la ciberseguridad a infraestructuras de gaming, utilizando servidores de Minecraft como entorno de laboratorio. Para proteger y auditar la infraestructura, diseñamos una arquitectura basada en la integración de dos herramientas principales. Por un lado, utilizamos Splunk para la recolección, extracción de campos personalizados (Field Extractions) y el análisis avanzado de logs en tiempo real. Por otro lado, implementamos n8n funcionando como un SOAR (Security Orchestration, Automation, and Response) para recibir webhooks y coordinar no solo la detección de las amenazas, sino la ejecución de respuestas automatizadas inmediatas. Durante la charla, demostramos técnica y prácticamente los siguientes casos de uso, destacando las acciones activas de mitigación: Detección y Respuesta ante Log4Shell: Monitoreo de intentos de explotación de esta vulnerabilidad crítica (CVE-2021-44228) mediante el uso de payloads JNDI en el chat, desencadenando la expulsión (kick) o baneo automático del jugador atacante. Inteligencia de Amenazas (CTI) en Tiempo Real: Análisis automatizado de la reputación de IPs entrantes y URLs compartidas en el chat. Al detectar enlaces maliciosos mediante motores de inteligencia, el sistema ejecutaba el bloqueo inmediato del infractor. Mitigación de Fuerza Bruta: Identificación de múltiples intentos fallidos de inicio de sesión (Login Bruteforce) estableciendo reglas de correlación, respondiendo con el bloqueo a nivel de red de la IP de origen. Monitoreo Operativo y Anti-Cheat: Generación de alertas operativas ante inactividad prolongada y detección de jugadores que activaban las defensas del servidor por anomalías de movimiento ("moved too quickly"). Link a la diapositiva https://docs.google.com/presentation/d/149QDWA2nZB--kdZ68azBdbA6rVAJS6uwX8bdT9wuafw/edit?usp=sharing