WO2007010055A1

WO2007010055A1 - Método y sistema para la generación de un archivo de registros auditables en los juegos por medios electrónicos presenciales y remotos

Info

Publication number: WO2007010055A1
Application number: PCT/ES2005/000400
Authority: WO
Inventors: Andreu Riera Jorba; Vanesa Daza Fernandez
Original assignee: Kinamik Data Integrity SL
Current assignee: Kinamik Data Integrity SL
Priority date: 2005-07-15
Filing date: 2005-07-15
Publication date: 2007-01-25
Anticipated expiration: 2008-01-15
Also published as: US9155959B2; GB2418153B; GB0521102D0; US20080287188A1; GB2418153A; EP1908503A1; EP1908503A4

Abstract

Método que permite auditorías fiables de una serie de requisitos de confianza preestablecidos para un juego por medios electrónicos, ya sea presencial o remoto. El método se caracteriza porque un módulo de juego con el que interactúan los jugadores, un módulo de seguridad, y un módulo de auditoría, susceptibles de diversos grados de dispersión y/o agrupación, realizan las siguientes etapas: - aportación de información digital conteniendo eventos significativos acontecidos en el juego por parte del módulo de juego al módulo de seguridad, - generación por parte del módulo de seguridad de un registro protegido para cada uno de los eventos significativos citados, - almacenamiento por el módulo de seguridad de cada uno de los registros protegidos, generando el archivo de registros protegidos, y, finalmente, acceso del módulo de auditoría al archivo de registros protegidos para la verificación del correcto desarrollo del juego. El método genera un archivo de registros protegidos independiente del operador de juego que permite a una tercera parte reproducir de manera fidedigna el juego acontecido y verificar el correcto desarrollo del mismo en base a unos criterios preestablecidos. Por la propia estructura del sistema que se define, la fiabilidad de la auditoría se basa en el correcto funcionamiento del módulo de seguridad y el módulo de auditoría, sin que el módulo de juego tenga capacidad para alterar o perturbar el resultado de las auditorías una vez el juego ha tenido lugar.

Description

^{0 O}f⁾ S /n no 4no

1

MÉTODO Y SISTEMA PARA LA GENERACIÓN DE UN ARCHIVO DE REGISTROS AUDITABLES EN LOS JUEGOS POR MEDIOS ELECTRÓNICOS PRESENCIALES Y REMOTOS

Campo de Ia invención

La presente invención describe un método y un sistema destinados a garantizar características relativas a Ia confianza (tales como Ia honestidad e imparcialidad) en Ia ejecución de juegos por medios electrónicos. Ello se consigue mediante el registro de Ia actividad desarrollada en dichos juegos y su almacenamiento seguro, utilizando para ello operaciones criptográficas. Se genera así un archivo de registros protegidos que permite auditorías periódicas fiables sobre las acciones del juego acontecido, proporcionando así una mayor confianza sobre el mismo. La presente invención tiene aplicación a juegos electrónicos ofrecidos tanto presencialmente como remotamente (a través de una red de comunicación).

El sistema aplicable a juegos por medios electrónicos de Ia presente invención introduce dos módulos o partes funcionales diferentes. El primero, módulo de seguridad, está destinado esencialmente a proteger una información digital utilizando herramientas criptográficas. El segundo, módulo de auditoría, permite verificar Ia honestidad e imparcialidad del juego al reproducir parte de Io acontecido en el juego, utilizando en caso de que sea necesaria Ia lógica del juego. Todo ello sin necesidad de interferir en exceso en Ia dinámica habitual de juego por parte de los jugadores.

Antecedentes de Ia invención

En el juego por medios electrónicos los jugadores participan en partidas de juego mediante Ia utilización de sistemas electrónicos, sistemas informáticos y/o redes de comunicaciones. En algunas ocasiones se trata de juego presencial por medios electrónicos. En estos casos, el jugador interactúa directamente con una máquina electrónica de juego ubicada en un centro de juego o en unas determinadas instalaciones a las cuales el jugador debe desplazarse para poder jugar. En otras ocasiones se trata de juego remoto por medios electrónicos, donde el jugador interactúa remotamente con el sistema electrónico de juego, habitualmente mediante Ia utilización de su ordenador con una conexión a Internet o a otra red equivalente. La variedad de juegos ofrecidos en ambas modalidades es extensa: juegos de centro de juego como Ia ruleta o el blackjack, apuestas deportivas, partidas de póquer, bingo, máquinas de rodillos, etcétera.

El juego por medios electrónicos, en cualquiera de sus modalidades, conlleva una falta de transparencia que puede suscitar problemas de desconfianza en relación a aspectos críticos de honestidad e imparcialidad. En realidad, en ciertas ocasiones Ia falta de transparencia del juego por medios electrónicos se ha conseguido utilizar con éxito con finalidades fraudulentas. Es por ello que Ia industria del juego ha venido recurriendo a dos mecanismos para intentar garantizar el correcto desarrollo de los juegos. Por un lado, Ia certificación del código fuente de los programas informáticos que determinan el funcionamiento del juego electrónico. Por otro lado, Ia auditoría de las estadísticas de repartición de los premios.

Sin embargo ambos mecanismos presentan serias deficiencias. En efecto, Ia certificación del código fuente de los programas de juego es en realidad una inspección del sistema realizada en un momento determinado por parte de un laboratorio independiente. Puede por tanto llegar a garantizar que en aquel preciso instante el sistema presentaba un diseño correcto que se traduciría por tanto en un comportamiento honesto. No obstante, Ia certificación del código fuente no tiene ninguna capacidad para demostrar que el sistema va a mantener en todo momento ese mismo diseño y comportamientos correctos. Se pueden certificar los programas de un módulo de juego electrónico hoy, pero quizás mañana ya habrán sido manipulados o sustituidos, ya sea accidental o intencionadamente. Aunque existen procedimientos para comprobar Ia existencia de cambios o manipulaciones en un programa informático, Ia posibilidad real de sustituir con gran facilidad y velocidad los módulos críticos correctos por los manipulados y viceversa relega, en Ia práctica, a dichos procedimientos de toda probabilidad de éxito como medida de seguridad. En Io que se refiere a las auditorías posteriores de los porcentajes de repartición de premios, éstas pretenden garantizar Ia correcta operación de los sistemas de juego electrónico al contrastar las públicamente conocidas estadísticas de cada juego en particular con los datos reales de premios entregados. Desafortunadamente, estas auditorías tan sólo pueden garantizar que se han repartido premios en un porcentaje correcto en relación al total del volumen jugado. No obstante, son completamente incapaces de demostrar Ia imparcialidad u honestidad del juego ofrecido. En realidad, una determinada fracción de los premios puede haber sido entregada deliberadamente a ciertos jugadores con el objetivo de llevar a cabo lavado de dinero o simplemente para conseguir una ganancia económica a costa del engaño a jugadores.

Habida cuenta de las expuestas limitaciones de los principales mecanismos de control empleados en Ia industria del juego electrónico, subsisten aún en Ia actualidad problemas primordialmente de desconfianza en relación al juego por medios electrónicos o juego electrónico. Cabe destacar los siguientes:

1. En el caso de juego electrónico remoto, existe el problema de Ia identificación de los jugadores. Una identificación remota de baja calidad permite acciones fraudulentas, como el lavado de dinero, y además permite el acceso al juego por parte de jugadores que deberían estar vetados, como es el caso de los menores de edad.

2. En el caso de juego electrónico basado en azar generado electrónicamente (prácticamente Ia totalidad de las variantes de juego electrónico con Ia excepción de algunas como sería el caso de las apuestas deportivas), pueden existir dudas razonables respecto de Ia manipulación fraudulenta de Ia generación de dicho azar para predecir o influir en cierta manera en futuros eventos aleatorios.

3. Las posibles auditorías posteriores sobre el desarrollo del juego se fundamentan en registros generados por el propio sistema electrónico de juego. Sin embargo, estos registros se encuentran insuficientemente protegidos ante ataques internos (por ejemplo por parte de personal técnico con acceso privilegiado al sistema electrónico de juego), por Io que Ia veracidad de los registros queda en entredicho.

Seguidamente se analizan en más detalle cada uno de estos tres problemas y las soluciones propuestas hasta Ia fecha para mitigarlos. La identificación de los jugadores en el juego electrónico remoto se ha apoyado hasta Ia fecha básicamente en Ia titularidad de Ia tarjeta de crédito utilizada para el flujo de dinero de apuestas y premios. No obstante, este mecanismo de identificación es claramente insuficiente puesto que cualquier persona puede suplantar a otra con tan solo tener acceso a Ia tarjeta de crédito de Ia segunda (relativamente fácil en el caso de miembros de una misma familia o en casos de robo, por ejemplo). Además, este mecanismo no resulta satisfactorio para Ia gestión de listas de autoexcluidos o listas de jugadores problemáticos. La identificación de los jugadores en base a Ia titularidad de las tarjetas de crédito se ha venido combinando también con el mecanismo de "login/password". Es estos casos, Ia identidad del usuario se verifica comprobando que el "password" introducido se corresponde con el generado en un proceso previo de registro del usuario. Sin embargo, el mecanismo de "login/password" presenta un conjunto de debilidades bien conocidas que Io hacen inadecuado para su uso en redes de comunicación abiertas. No solo los passwords pueden ser interceptados (facilitando Ia suplantación de personas no autorizadas), sino que además también son susceptibles de ataques como el "phishing", los troyanos, o ataques por fuerza bruta, entre otros. Un completo estudio de las debilidades que presenta el mecanismo de "login/password" se puede encontrar en [A. Shimizu, T. Horioka y H. Inagaki, A password authentication methods for contents communication on the Internet, IEICE Transactions on Communications, vol. E81-B, no. 8, pp. 1666-1673, Aug. 1998] o [F. Bao, Security Analysis of a Password Authenticated Key Exchange Protocol, Proceedings of 6th Information Security Conference - ISC 2003, LNCS 2851 , pp. 208-217, Springer-Verlag Heidelberg, 2003, ISSN: 0302-9743, Information Security: 6th International Conference, ISC 2003, Bristol, UK, October 1-3, 2003. Proceedings, ISBN: 3-540-20176-9].

Propuestas recientes sugieren Ia utilización de mecanismos biométricos para garantizar Ia correcta identificación de los jugadores, ya sea en entornos de juego electrónico presencial como en entornos de juego electrónico remoto. Por citar algunas propuestas, las invenciones descritas en US6612928, US2004192438 y US2004192442 son ejemplos en entornos de juego electrónico remoto. La patente US2002160834 propone una solución donde el lector de información biométrica está localizado en diferentes quioscos, por Io que se adecúa a los entornos de juego electrónico presencial. Sin embargo, Ia identificación biométrica presenta sus propias desventajas. Por un lado, resulta excesivamente intrusiva para el jugador. Por otro lado, en entornos de juego electrónico remoto, queda sin resolver Ia necesidad de asegurar que Ia lectura del patrón biométrico se realiza en el preciso instante del juego y que no procede, por el contrario, de una lectura previa.

Respecto a Ia fiabilidad de Ia generación por medios electrónicos del azar, Ia raíz del problema estriba en Ia vulnerabilidad que introduce una generación excesivamente centralizada. En efecto, en los módulos de juego electrónico actuales se deposita todo el control de Ia generación de azar en un único punto central (siempre en manos del operador de juego y/o de sus empleados). Existen propuestas previas con el objetivo de superar los problemas de generación fraudulenta de azar derivados de esta vulnerabilidad. Estas propuestas se basan en Ia generación compartida del azar entre varias partes, sin que ninguna de ellas (en particular el operador de juego) represente un punto central de control. El uso de estos métodos de generación compartida permite asegurar Ia imparcialidad de los números aleatorios resultantes, siempre que las distintas partes participantes no colaboren en su totalidad. No sólo ninguna de las partes puede manipular el resultado de Ia generación conjunta del evento de azar generado electrónicamente, sino que además ninguna parte tiene información privilegiada referente a futuros eventos azarosos. Ejemplos representativos de métodos de generación compartida o colaborativa de números aleatorios se encuentran en Ia propuesta de Manuel Blum del año 1982 [Blum M., Coin flipping by telephone: a protocol for solving impossible problems, Proc. IEEE Computer Conference, pp. 133-137, IEEE, 1982] o en Ia propuesta de Joe Kilian del año 1990 [Kilian, J., Uses of randomness in algorithms and protocols, ACM Distinguished Dissertation, MIT, 1990, ISBN:0-262-11153-5]. Las invenciones previas descritas en US 6.099.408, US 6.030.288, WO2004035159 o WO2005021118, sacan ventaja de este tipo de mecanismos de generación compartida o colaborativa de números aleatorios para tratar de garantizar Ia imparcialidad del juego. Sin embargo, el principal problema del que adolecen estas propuestas es Ia escasa realización práctica, al requerir Ia participación activa de los jugadores en Ia generación compartida del azar. Ello crea, en Ia práctica, una dependencia con respecto al comportamiento de sistemas desconocidos y con un elevado grado de heterogeneidad, como son los sistemas cliente utilizados por los jugadores. Una posible variante, consistente en Ia delegación de Ia generación compartida a una tercera parte no controlada directamente por los jugadores, superaría esta limitación técnica. No obstante, en este caso los jugadores no tendrían capacidad para verificar por si mismos Ia imparcialidad de Ia generación de azar.

Existen, adicionalmente, otras propuestas que resultan ser, como mucho, soluciones parciales ante posibles problemas de seguridad en el desarrollo del juego pero que en ningún caso desarrollan soluciones al problema de imparcialidad del azar. Por ejemplo, algunas invenciones previas que describen métodos y/o sistemas relacionados con Ia operatividad del juego por medios electrónicos, como por ejemplo las descritas en US 4.926.327, US 5.038.022, GB 2.307.184. Otras invenciones se centran en Ia seguridad a nivel de red, utilizando criptosistemas entre los diferentes participantes en el juego para garantizar por ejemplo Ia seguridad de las comunicaciones, pero sin proponer soluciones para los problemas de Ia imparcialidad y honestidad anteriormente mencionados. Algunos ejemplos representativos de estas invenciones son los descritos en las referencias US 6.106.396, 6.117.011 , US6.264.560 y WO9811686.

Finalmente, el tercer problema de confianza no debidamente resuelto del juego electrónico se refiere a Ia capacidad de inspección y de auditoría de estos sistemas. Resulta obvio que es necesario mantener un control fiable, extemo e independiente, acerca de las características esenciales de honestidad de un módulo de juego por medios electrónicos. Estas características esenciales comprenden el control de Ia identidad de los jugadores, Ia honestidad del desarrollo de los juegos, y el ajuste del juego a las limitaciones impuestas por Ia regulación o por las cuentas de cada jugador (por ejemplo, en referencia al máximo que se puede apostar mensualmente). Actualmente, sin embargo, el control extemo de estas características se basa en auditorías que dependen en excesiva medida de datos aportados por el propio operador de juego, datos que por otra parte no se encuentran suficientemente protegidos, pudiendo haber sido manipulados con excesiva facilidad. No existen a fecha de hoy propuestas suficientemente eficientes que propongan métodos para llevar a cabo de manera segura estas auditorías del juego acontecido. En entornos de juego por medios electrónicos presenciales, algunas invenciones consideran aportaciones diversas para garantizar cierto nivel de seguridad. Así, por ejemplo, en US200424321 se propone Ia detección de fraudes ejecutando Io acontecido en el juego en dos máquinas diferentes y monitorizando Ia segunda para detectar posibles fraudes. La propuesta de Ia invención US2004198494 consiste en utilizar un aparato criptográfico para garantizar Ia seguridad del módulo de juego, al prevenir el acceso a personas no autorizadas y/o posibles manipulaciones. Sin embargo, el método de auditoría que proponen ambas invenciones resulta poco eficiente y tampoco proporciona Ia seguridad necesaria para ser aplicado en entornos reales de juegos por medios electrónicos. En efecto, se trata de soluciones que implican el uso de un gran volumen de información digital, ya que utilizan Ia totalidad de Ia información de Io acontecido durante el juego. Además, estas propuestas no proporcionan mecanismos que garanticen que Ia información digital a auditar no ha sido manipulada durante el juego o incluso una vez éste ha finalizado.

A modo de resumen, puede destacarse que en todas las propuestas anteriores conocidas por los inventores, no se especifica una operatividad del juego abarcando un ciclo completo en el cual el propio jugador, sin que participe directamente en Ia generación de azar, pueda verificar que el juego se ha realizado de manera honesta e imparcial. Además, el proceso de auditoría, que en general no ha sido considerado en invenciones precedentes, resulta en las propuestas conocidas que Io tratan, costoso (dado el gran volumen de datos procesado en tiempo real durante el propio desarrollo de los juegos) y poco fiable (al depender de datos sin protección adecuada). Además, este proceso de auditoría no arroja ningún tipo de conclusiones fiables con respecto a las identidades de los jugadores que han participado en los juegos. Breve exposición de la invención

En Ia presente invención se proponen un método y un sistema que permiten dotar a un sistema electrónico de juego, ya sea presencial (en quioscos de juego) o remoto (a través de una red de comunicación como Internet), de Ia capacidad de generar confianza. Por confianza entendemos Ia seguridad o garantía relativas a criterios tales como Ia honestidad e imparcialidad en el desarrollo de los juegos. Este objetivo se consigue mediante Ia creación de un archivo de registros protegidos que permite a terceras partes (como auditores o reguladores), o a los propios jugadores, verificar que los diferentes eventos acontecidos durante el juego responden a un desarrollo honesto del mismo (en base a las reglas de cada juego), a una generación imparcial del azar (en aquellos juegos en los que se requiera), y a restricciones impuestas de diversa índole (por ejemplo, de edad de los jugadores o de cantidades máximas a jugar).

La presente invención introduce Ia utilización de dos módulos adicionales en conjunción con un módulo de juego. El primero de ellos, el módulo de seguridad, se encarga principalmente de Ia generación segura de registros protegidos que permiten reproducir posteriormente Io acontecido en el juego. Adicionalmente, este módulo de seguridad es responsable de Ia generación honesta de los eventos aleatorios (cuando éstos sean necesarios). El segundo módulo adicional introducido en Ia presente invención, llamado módulo de auditoría, toma como entrada los registros protegidos generados por el módulo de seguridad, para Ia reproducción fiable del juego acontecido. Con ello, el módulo de auditoría genera informes relativos a los distintos factores relevantes a Ia confianza y honestidad del módulo de juego electrónico. La puesta a disposición de parte de estos informes a los jugadores permite que éstos puedan verificar el correcto desarrollo del juego aún cuando Ia utilización del método propuesto en Ia presente invención ha resultado transparente a los jugadores durante Ia ejecución del juego.

Así, Ia presente invención describe en un primer aspecto un método para Ia generación de registros seguros y auditables que contengan información que permita reconstruir Io acontecido durante el juego para verificar si se han producido operaciones fraudulentas o no. La invención también describe en un segundo aspecto las características del citado módulo de seguridad y del citado módulo de auditoría asociados a un módulo de juego y que permiten Ia implementación de dicho método.

A Io largo de Ia presente invención se entenderá por evento significativo de juego aquella acción o suceso que refleja un acontecimiento importante del juego y que determina el desarrollo de una partida de juego en sus aspectos principales. Un objetivo de Ia presente invención es generar registros de dichos eventos significativos que caracterizan el desarrollo del juego, y dotar a dichos registros de protección ante manipulaciones. Con esa finalidad, el módulo de seguridad interacciona con el módulo de juego y genera registros en base a los datos aportados por el módulo de juego. El módulo de seguridad incorpora protocolos criptográficos que permiten dotar de protección a los registros una vez generados. Todo ello da lugar a un archivo de registros protegidos. El módulo de seguridad protege cada registro individualmente con medidas criptográficas y protege también Ia secuencia entera de registros para evitar alteraciones en el orden de los registros o eliminaciones de parte de Ia secuencia. Además, las protecciones criptográficas desarrolladas en Ia presente invención resultan especialmente eficientes, pese a basarse, en parte, en una firma digital (operación que, en general, se considera costosa desde el punto de vista computacional).

Es también objetivo de Ia presente invención facilitar a terceras partes el proceso de auditoría del juego electrónico. Para ello Ia invención incorpora el módulo de auditoría que permite auditorías fiables y a Ia vez eficientes, a partir de dicho archivo de registros protegidos. Las protecciones criptográficas efectuadas por el módulo de seguridad durante Ia generación de los registros permiten al módulo de auditoría verificar que los registros han sido generados por parte de un módulo de seguridad correcto y que no han sido posteriormente alterados. También permiten verificar que Ia secuencia de registros es completa y en el orden original.

La división del sistema propuesto en dos módulos, de seguridad y de auditoría, es una característica novedosa que posibilita un control del juego poco intrusivo para Ia propia dinámica del desarrollo de los juegos en el módulo de juego electrónico. El desplazamiento de toda Ia inteligencia (por ejemplo, Ia lógica de los distintos juegos o el control de las diversas variantes de juego) al módulo de auditoría convierte al módulo de seguridad en un simple módulo de registro seguro. Ello conlleva grandes ventajas de rendimiento y de flexibilidad. Por un lado, se beneficia el rendimiento general del sistema, puesto que el módulo de seguridad lleva a cabo tareas críticas en tiempo real que afectan al desarrollo de los juegos. Por otro lado, Ia evolución de los juegos (introducción de nuevas modalidades o alteración de las reglas establecidas) solo afecta al módulo de auditoría, menos sensible para el desarrollo de los juegos en tiempo real. En efecto, el módulo de seguridad se halla integrado o interconectado con el módulo de juego, y en constante comunicación con el mismo. Por el contrario, el módulo de auditoría puede actuar en completa desconexión con el módulo de juego. De este modo, aunque un rendimiento insuficiente del módulo de seguridad podría afectar negativamente el rendimiento global del módulo de juego percibido por los jugadores, no sucedería Io mismo con un rendimiento insuficiente del módulo de auditoría. En este último caso, el desarrollo del juego y Ia interacción entre jugadores y módulo de juego no se verían afectados en absoluto. Otro objetivo de Ia presente invención es permitir que el módulo de seguridad participe activamente (en juegos de azar) en Ia determinación de eventos aleatorios generados electrónicamente. Ello se consigue ya sea por Ia generación íntegra de tales eventos o bien por Ia generación compartida con el propio módulo de juego. En este respecto, Ia presente invención tiene como objetivo garantizar el desarrollo imparcial del juego y Ia auditabilidad de dicha imparcialidad. Este es un objetivo superior al de otras invenciones previas, las cuales se limitaban a garantizar Ia imparcialidad de Ia generación de los números aleatorios de base.

Una mejora importante de Ia presente invención con respecto a invenciones previas es Ia garantía a los jugadores acerca de Ia imparcialidad y honestidad del juego electrónico, sin necesidad de implicarles directamente en el proceso de control o en el proceso de generación de azar. Ello mejora sustancialmente Ia eficiencia del protocolo resultante. Es un objetivo de Ia presente invención permitir que los jugadores puedan delegar en una tercera parte el control de Ia honestidad del juego, ofreciéndoles mecanismos para verificar que dicha delegación ha dado como resultado un control efectivo y riguroso. La presente invención presenta una adecuada combinación de medidas de protección física (mediante sistemas hardware sellados) con protocolos criptográficos. Esta combinación permite mantener un archivo de registros protegidos en una base de datos convencional mantenida en las propias premisas del operador de juego, sin que los registros almacenados en ella puedan verse afectados por manipulaciones.

Por último, pero no por ello menos importante, Ia presente invención tiene como objetivo adicional el dar soporte al control de Ia identidad de los jugadores, con Ia posibilidad de auditoría por terceras partes. De este modo, Ia invención integra en un mismo sistema el control de Ia imparcialidad y honestidad en el desarrollo de los juegos con el control de Ia identidad de los jugadores.

El método propuesto en Ia presente invención se caracteriza por comprender las siguientes etapas básicas, realizadas para un subconjunto o el total de los eventos significativos de juego acontecidos: aportación por parte del módulo de juego al módulo de seguridad de una información digital que contiene un evento significativo de juego; generación en dicho módulo de seguridad de un registro protegido para cada evento significativo que se haya recibido contenido en Ia información digital aportada por el módulo de juego; almacenamiento de dicho registro protegido, dando lugar a un archivo de registros protegidos. El método también comprende una etapa de verificación del correcto desarrollo del juego, realizada en el módulo de auditoría a partir de Ia información contenida en el archivo de registros protegidos. Esta etapa de verificación se puede realizar durante el juego o, por ejemplo, tras su finalización, dependiendo de los diferentes criterios de auditoría considerados.

En caso de que en el módulo de juego se hayan producido operaciones fraudulentas durante el juego, el método permite garantizar Ia detección de tales acciones mediante auditorías fiables. El método también contempla Ia posibilidad de que el jugador reciba información instantáneamente, por diversos canales, que Ie permita verificar el correcto desarrollo del juego, posiblemente en tiempo real.

Para aquellos casos en que se requiera Ia generación electrónica de azar, el método contempla tres posibilidades: generación de manera individual por el módulo de juego, generación de manera individual por el módulo de seguridad, o generación compartida entre el módulo de juego y el módulo de seguridad. En todos los casos el proceso de generación se registra adecuadamente para habilitar una auditoría posterior del mismo.

El módulo de seguridad utilizado en el sistema para Ia implementación del método propuesto comprende, en su versión más básica, los siguientes elementos: unos medios de procesamiento, unos medios de entrada y salida de datos para obtener una información digital relacionada con los eventos significativos de juego, y unos medios de almacenamiento para almacenar los registros protegidos generados. El módulo de seguridad se encuentra dividido, en una variante de ejecución preferida, en un submódulo criptográfico que proporciona medidas se seguridad físicas y un submódulo de almacenamiento. El submódulo criptográfico podría implementarse como un Hardware Security Module (o HSM). El submódulo de almacenamiento podría implementarse como un servidor de bases de datos. El módulo de auditoria utilizado en el sistema para Ia implementación del método propuesto comprende, en su versión más básica, los siguientes elementos: unos medios de entrada y salida de datos que Ie permiten acceder al archivo de registros protegidos almacenado por el módulo de seguridad, y unos medios de procesamiento que Ie permiten procesar información relativa a los registros protegidos contenidos en dicho archivo de registros protegidos.

Otras características de Ia presente invención, y en concreto, las características particulares de las etapas del método y los elementos constitutivos de los módulos de seguridad y de auditoría serán descritos con mayor detalle a continuación, ilustrados además con unas láminas de dibujos. Breve descripción de los dibujos

La Figura 1 muestra de manera simplificada los principales elementos sobre los que se implementa el método y el sistema de Ia presente invención: un jugador o una pluralidad de ellos interactúan con un módulo de juego. Este módulo de juego se encuentra conectado a un módulo de seguridad que, juntamente con el módulo de auditoría se encargarán de garantizar Ia honestidad y Ia imparcialidad de los juegos por medios electrónicos que se desarrollen. La Figura 2 ilustra de forma esquemática las principales etapas que caracterizan el método propuesto en Ia presente invención. El módulo de juego aporta al módulo de seguridad una información digital relacionada con un evento significativo de juego. A continuación el módulo de seguridad genera un registro protegido asociado a dicho evento significativo y almacena cada uno de estos registros protegidos, dando lugar así a un archivo de registros protegidos. Finalmente, el módulo de auditoría accede en algún momento al archivo de registros protegidos para verificar el correcto desarrollo del juego acontecido a partir de los eventos significativos.

Como muestra Ia Figura 3, las partes autorizadas (como puede ser el caso de auditores) tienen acceso a Ia información de auditoría que genera el módulo de auditoría. Estas partes autorizadas pueden enviar convenientemente algún tipo de informe a los jugadores, indicando información relacionada con Io acontecido en el juego. Este tipo de informes permitirá al jugador verificar Ia corrección de Io acontecido en el juego (por ejemplo en Io referente a Ia generación imparcial del azar).

La presente invención concierne tanto a juegos por medios electrónicos remotos como presenciales, como muestra Ia Figura 4.

La Figura 5 muestra algunos de los elementos básicos que se relacionan con el módulo de juego o que pueden integrarlo. Una entidad de registro que se encarga principalmente del control de Ia identidad de los jugadores que acceden al juego, un operador de juego que representa el propietario o gestor del módulo de juego, una entidad bancaria que proporciona una pasarela de pago para las transacciones económicas referidas a los juegos y, finalmente, una entidad auditora que se encarga de verificar que el juego se desarrolla o se ha desarrollado correctamente.

La Figura 6 muestra los dos submódulos en los que se puede dividir el módulo de seguridad. Por un lado, el submódulo criptográfico, que en una implementación preferida contiene un generador de números aleatorios (PRNG), y que otorga protección a los registros generados en base a los eventos significativos de juego acontecidos. Por otro lado, el submódulo de almacenamiento, donde se almacena el archivo de registros protegidos. Como muestra Ia Figura 7, dicho archivo de registros protegidos está formado por Ia sucesión o secuencia de los diferentes registros protegidos generados previamente por el módulo de seguridad.

Descripción detallada de Ia invención

La presente invención propone el uso, conjuntamente con un módulo de juego por medios electrónicos, ya sea presencial o remoto, de una unidad independiente que permita garantizar Ia honestidad y confianza de las operaciones de juego desarrolladas. La unidad independiente introducida en Ia presente invención se encuentra conectada o integrada con el módulo de juego y tiene como principales misiones las siguientes:

- participar en Ia generación de azar, siempre que Ia lógica del juego Io requiera; - mantener un archivo de registros protegidos; y finalmente,

- habilitar Ia realización de auditorías fiables acerca del desarrollo del juego.

Más concretamente, Ia presente invención introduce para tal fin dos módulos claramente diferenciados (aunque susceptibles de diversos grados de agrupación y/o dispersión): un módulo de seguridad y un módulo de auditoría (ver Figs. 1 y 3). Ambos conforman Ia citada unidad independiente. El módulo de seguridad está destinado a Ia generación y Ia protección de registros referentes a los principales eventos acontecidos durante el juego. El módulo de seguridad preferentemente incorpora un hardware criptográfico que efectúa esta tarea de manera segura ante posibles ataques y/o manipulaciones. El módulo de seguridad almacena los registros generados en un archivo (denominado archivo de registros protegidos). Este archivo puede almacenarse opcionalmente en un dispositivo de una sola escritura que impida su manipulación posterior.

Por su parte, el módulo de auditoría está destinado a verificar el correcto desarrollo de los juegos a partir de Ia información contenida en el archivo de registros protegidos (para ello, el módulo de auditoría tiene acceso al archivo de registros protegidos). La presente invención considera Ia posibilidad de que esta verificación se realice en tiempo real mientras se desarrolla el juego, y también Ia posibilidad de que esta verificación se realice diferidamente en instantes preestablecidos por motivos relacionados con Ia auditoría. En cualquier caso, Ia presente invención permite que el jugador tenga siempre Ia posibilidad de verificar Ia honestidad e imparcialidad del juego. Para ello, se envía parte de Ia información generada por el módulo de auditoría a cada uno de los jugadores mediante por ejemplo un mensaje de telefonía móvil o un correo electrónico. De esta manera, Ia presente invención reparte en los dos módulos citados

Ia carga computacional del método para permitir auditorías fiables, que propone. La mayor carga computacional (ya que requiere el análisis, en ocasiones exhaustivo, de los diferentes registros protegidos) recae en el módulo de auditoría. De este modo no se interfiere en Ia dinámica de juego que establecen los jugadores con el módulo de juego. El módulo de seguridad, en constante interacción con el módulo de juego, se encuentra limitado a aspectos de copia y/o cifrado de información digital. Toda Ia inteligencia referente a las diferentes lógicas de juego se halla desplazada al módulo de auditoría. Ello facilita Ia gestión de Ia actualización de las lógicas de juego y Ia adición de nuevos juegos, de nuevo sin interferir en el comportamiento del módulo de seguridad y, en consecuencia, sin alterar en ningún modo Ia dinámica de juego entre el módulo de juego y los jugadores. A continuación se describe con más detalle el sistema que se introduce en Ia presente invención, así como las distintas partes con las que se relaciona o integra un módulo de juego electrónico.

Se asume, en primer lugar, que un jugador o una pluralidad de ellos (ver Fig. 1) participan en el juego por medios electrónicos. El juego, de unas determinadas modalidades, es ofrecido al jugador o jugadores por medio de un módulo de juego, ya sea en forma presencial o remota (ver Fig. 4). Los juegos presenciales por medios electrónicos proporcionan una interacción directa, presencial, con los jugadores, a través de sistemas tales como los terminales de video lotería (VLT) instalados en salas de juego o bingos. Por el contrario, en los juegos remotos por medios electrónicos, Ia interacción con el jugador es remota, a través de una red de comunicación tal como Internet. En ambos casos, el módulo de juego, conocedor de Ia lógica de los juegos, interacciona con los jugadores, recibiendo información de éstos relacionada con sus decisiones durante el juego y mostrándoles Ia evolución del juego. Frecuentemente, el módulo de juego registra las operaciones que se llevan a cabo durante el juego. En caso de que sea necesario (en especial en los juegos remotos), los jugadores suelen disponer de una plataforma de ejecución (por ejemplo, un quiosco de juego, un ordenador personal, un asistente digital personal o un terminal de telefonía móvil) y/o un conjunto de programas o aplicaciones informáticas que les permite Ia interacción con el módulo de juego. En adelante, y a menos que sea necesario especificar Io contrario, se hará referencia como jugadores, indistintamente tanto a los jugadores como a sus programas relacionados. Los principales elementos o partes que se integran o se relacionan con el módulo de juego con el que interactúan los jugadores (ver Fig. 5) son:

- una entidad de registro encargada principalmente de proporcionar credenciales a los jugadores que permitan su autenticación ante el módulo de juego, ya sea presencialmente o de manera remota. En el caso del juego remoto por medios electrónicos, dichas credenciales pueden ser, por ejemplo, un nombre de usuario ("login") y una palabra clave ("password"), o bien un par de claves asimétricas debidamente certificadas;

- un operador de juego, propietario o gestor del módulo de juego y responsable de Ia operación del mismo; - una entidad auditora que se encarga de verificar que las operaciones de juego desarrolladas por el módulo de juego han cumplido con los criterios de honestidad e imparcialidad preestablecidos, por ejemplo por Ia normativa relevante en materia de juego electrónico;

- una entidad bancaria que gestiona el flujo de dinero motivado por las apuestas y el pago de los premios durante el desarrollo de los juegos.

El módulo de seguridad introducido en Ia presente invención también tiene una relación importante con el módulo de juego. El módulo de seguridad se encuentra adaptado para su conexión o integración con un módulo de juego. El módulo de seguridad consta de un conjunto de programas y/o plataformas de ejecución para Ia implementación de aquellas operaciones que requiere el método descrito en Ia presente invención. Este módulo de seguridad genera, mediante unos medios de procesamiento, registros protegidos a partir de información que Ie aporta el módulo de juego y que obtiene a través de unos medios de entrada y salida de datos. El módulo almacena dichos registros protegidos en un archivo, mediante unos medios de almacenamiento.

En una implementación preferida 8ver Fig. 6), el módulo de seguridad está formado por dos submódulos diferenciados: un submódulo criptográfico y un submódulo de almacenamiento. El submódulo criptográfico integra un hardware sellado que proporciona medidas de protección físicas a parte de los medios de procesamiento del módulo de seguridad e incluso puede llegar a almacenar información en el caso de que se requiera (proporcionando por tanto protección física también a parte de los medios de almacenamiento del módulo de seguridad). Por citar un ejemplo real, el hardware sellado que integra el submódulo criptográfico podría ser del tipo Hardware Security Module (HSM). Existen en el mercado este tipo de componentes, como podría ser un nShield del fabricante nCipher [http://www.ncipher.com/nshield/ 19/05/2005]). Se trata de un hardware seguro, no manipulable, con capacidad de ejecución de aplicaciones en su interior, de ejecución de código, de ejecución de primitivas criptográficas y también de almacenaje y gestión de claves criptográficas. También podría tratarse de una placa criptográfica o de un dispositivo extraíble tal como una tarjeta inteligente. Respecto al submódulo de almacenamiento (ver Fig. 7), en una implementación preferida de Ia invención se trataría de un servidor de bases de datos. También se contempla el caso en que el submódulo de almacenamiento emplee un dispositivo de una sola escritura tal como un WORM (del inglés, "write once, read many"). El submódulo de almacenamiento puede encontrarse directamente interconectado o integrado con el submódulo criptográfico o, por el contrario, puede encontrarse físicamente separado de dicho submódulo criptográfico. En el último caso, ambos submódulos disponen de unos medios de entrada y salida de datos para interconectarse a través de una red de comunicación tal como Internet. Los medios de procesamiento del módulo de seguridad incluyen, en una

¡mplementación preferida, un generador de números aleatorios. Puede tratarse de un dispositivo hardware de generación de números aleatorios. También puede tratarse de un algoritmo software que genera números pseudoaleatorios. También podría darse el caso de una combinación de ambos, donde se utiliza una semilla aleatoria para generar una secuencia de valores pseudoaleatorios. Algunos ejemplos de generadores de números pseudoaleatorios se encuentran recogidos en [FIPS PUB 140-2: Security Requirements for Cryptographic Modules, http://csrc.nist.gov/cryptval/140-2.htm, Abril 2005] o [Appendix 3 of FIPS PUB 186: Digital Signature Standard, http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf, Mayo 2005] y [RFC 1750: Randomness Recommendations for Security, http://www.ietf.org/rfc/rfc1750.txt, Mayo 2005].

El módulo de seguridad también está adaptado para almacenar al menos una clave para Ia realización de operaciones criptográficas a partir de Ia información digital obtenida del módulo de juego. El módulo de seguridad también está adaptado para registrar al menos parte del resultado de dichas operaciones criptográficas. Asimismo, el módulo de juego también estaría, en una implementación preferida, adaptado para el almacenamiento de claves criptográficas.

Respecto a Ia interconexión lógica entre el módulo de juego y el módulo de seguridad, Ia presente invención considera Ia posibilidad de que se encuentren interconectados lógicamente, preferentemente mediante una API (Application Programming Interface) que permite el diálogo entre el software del módulo de juego y el software del módulo de seguridad. Esencialmente, Ia API provee al módulo de juego (presencial o remoto) de una interfaz bien definida a través de Ia cual se puede acceder fácilmente y de forma estandarizada a las funcionalidades de los módulos que se reivindican en Ia presente invención, sin necesidad de conocer los detalles internos de los mismos y permitiendo un alto nivel de independencia ante futuras evoluciones. Además, Ia API realiza también las tareas de reparto dinámico de carga en el caso en que, por necesidades de rendimiento, un mismo módulo de juego disponga de más de un módulo de seguridad integrado. En este sentido, el software que conforma Ia API se encarga de distribuir las peticiones del módulo de juego entre los distintos módulos de seguridad según estos se encuentren más o menos disponibles.

El módulo de auditoría se encuentra adaptado para su conexión o integración con el módulo de seguridad. El módulo de auditoría tiene acceso mediante unos medios de entrada y salida de datos al archivo de registros protegidos almacenado por el módulo de seguridad. En el caso en que el módulo de seguridad se encuentre dividido en los dos submódulos diferenciados citados anteriormente, Ia presente invención considera Ia posibilidad de que el módulo de auditoría tenga acceso al submódulo de almacenamiento para obtener información del archivo de registros protegidos. Al igual que el módulo de seguridad, este módulo de auditoría consta de un conjunto de programas y/o plataformas de ejecución para aquellas operaciones que reivindica el método de Ia presente invención. El módulo de auditoría puede verificar el correcto funcionamiento del juego gracias a los medios de procesamiento de que dispone.

Aunque el conjunto de los módulos que se introducen en Ia presente invención son susceptibles de ser agrupados de forma individual o conjunta, en una implementación preferente el módulo de seguridad y el módulo de auditoría se encontrarán separados físicamente. En todo caso, el módulo de auditoría tiene acceso al archivo de registros protegidos materializado por ejemplo mediante un soporte físico tal como un CD-ROM o bien mediante un acceso remoto a través de una red de comunicación. En una implementación preferida, el módulo de auditoría se encontraría completamente desconectado del módulo de juego. Sin embargo podría mantener conexiones con uno o más módulos de seguridad simultáneamente. Un mismo módulo de juego podría mantener conexiones simultáneas con uno o más módulos de seguridad. Del mismo modo, un mismo módulo de seguridad podría mantener conexiones simultáneas con uno o más módulos de juego.

En Ia presente invención se reivindica asimismo un método que permite, al ser implementado mediante el sistema descrito previamente, garantizar una serie de requisitos de confianza (tales como Ia honestidad e imparcialidad) de las acciones acontecidas durante un juego por medios electrónicos, ya sea presencial o remoto. La estructura básica en Ia cual se fundamenta el método consiste en Ia preservación segura de información relativa a los eventos significativos de cualquier juego, para posibilitar en todo momento su análisis y auditoría con total fiabilidad. Según se ha indicado anteriormente, evento significativo de juego es toda aquella acción o suceso que refleja un acontecimiento importante del juego y que determina el desarrollo de una partida de juego en sus aspectos principales. Ejemplos de eventos significativos de juego serían decisiones por parte de jugadores tales como el entrar en, o salir de, una mesa de juego, o Ia acción de realizar una determinada apuesta. También sería un ejemplo de evento significativo de juego, en el caso de Ia ruleta, Ia detención de Ia bola en una determinada casilla. En un sistema electrónico de juego, los eventos significativos de juego se pueden representar internamente mediante información digital, Ia cual puede traspasarse durante el juego entre los diferentes elementos que conforman el sistema de juego.

Así, por ejemplo, Ia autenticación de un jugador que accede a dicho módulo de juego corresponde a un evento significativo de un juego por medios electrónicos. Esta autenticación puede realizarse de diferentes maneras, dependiendo del nivel de seguridad que se desee garantizar. Por ejemplo, se puede permitir el acceso al juego a un jugador que valida un nombre de acceso y una palabra clave asociados previamente a dicho jugador, o bien utilizar una infraestructura de clave pública para dotar de certificados digitales a los jugadores que les permitan un proceso de autenticación más robusta. En Ia actualidad también se utilizan patrones biométricos para autenticar a los jugadores que acceden al juego. Con los recientes avances en las técnicas criptográficas de autenticación ID-Based (también conocidas como Identity- Based), esta alternativa también se configura como una posible vía a emplear. Sea cual fuere el método de autenticación utilizado en el juego, cuando el evento significativo corresponde a Ia autenticación de un jugador que accede al módulo de juego, este último puede aportar al módulo de seguridad una información digital que permita reproducir el proceso de autenticación. El módulo de juego también podría aportar otra información, relativa a Ia localización geográfica del jugador que accede al juego. En el caso de juego electrónico remoto, dicha localización correspondería a Ia ubicación del terminal desde el cual el jugador accede remotamente al módulo de juego a través de una red de comunicación. Ello podría constituir otro evento significativo de juego. En realidad, sin embargo, Ia localización de un jugador y su autenticación en el momento de acceder al juego podrían unirse formando un único evento significativo de juego que comprendería ambas cuestiones. Otro evento significativo de juego sería el inicio de una partida de un determinado juego, o Ia incorporación de un jugador a dicha partida. La descripción de dicho evento Ia conformarían las características esenciales de Ia partida tales como el tipo de juego, Ia variante de juego y los límites para las apuestas, por ejemplo. Otro evento significativo de importancia corresponde a una decisión o acción de juego por parte de un jugador, como podría ser por ejemplo Ia decisión de realizar una determinada apuesta o bien Ia acción de accionar los rodillos de una máquina de juego, o también Ia decisión por ejemplo de tomar una carta adicional. En caso de que Ia lógica del juego Io requiera, puede resultar necesario generar azar durante el juego. La generación de azar sirve para determinar por ejemplo en qué casilla se debe detener Ia bola de una ruleta, o como quedan las cartas una vez se han barajado. La generación de azar constituye también un evento significativo de vital importancia. La generación electrónica de azar requiere en primer lugar Ia obtención o generación de un número aleatorio o pseudoaleatorio. En segundo lugar, este número se traslada al rango adecuado en función del tipo de evento azaroso que se espera (el lanzamiento de un dado por ejemplo requiere un número de 1 a 6, mientras que Ia ubicación de Ia bola en Ia ruleta requiere un número de 0 a 36). En tercer lugar, el número así obtenido se traslada al resultado azaroso final, mediante una determinada función de mapping preestablecida.

La presente invención considera tres métodos distintos para Ia generación de eventos azarosos. En primer lugar, Ia generación por el módulo de juego individualmente sin ninguna intervención del módulo de seguridad. En segundo lugar, Ia generación por el módulo de seguridad individualmente sin ninguna intervención del módulo de juego, empleando, por ejemplo, un generador de números aleatorios que se encuentre en el submódulo criptográfico. En tercer lugar, Ia presente invención considera también Ia opción de que el azar se genere de manera compartida entre el módulo de juego y el módulo de seguridad.

En cualquier caso, el módulo de juego es siempre el que conduce el desarrollo de los juegos y Ia interacción con los jugadores. Es por ello que en los supuestos segundo y tercero anteriores (generación de azar por el módulo de seguridad y generación de azar compartida), el módulo de juego debe iniciar el proceso de Ia generación de azar mediante una petición al módulo de seguridad. El módulo de juego siempre debe ser finalmente notificado del resultado definitivo de Ia generación de evento azaroso, para permitir Ia continuación del desarrollo del juego. En caso de que se estime conveniente, dicha notificación podría ir marcada digitalmente (por ejemplo mediante una firma digital simétrica o asimétrica) para dotarla de autenticidad e integridad. El protocolo terminaría, en una implementación preferida, con una confirmación final del módulo de juego al módulo de seguridad. En el caso de una generación compartida de azar, en una implementación preferida se utilizan fundamentalmente dos herramientas criptográficas. Por un lado, un esquema para compartir secretos que permite generar números aleatorios de manera distribuida sin que ninguna de las partes involucradas (en este caso el módulo de juego y el módulo de seguridad) tengan ningún tipo de información acerca de cual será el valor resultante ni tampoco puedan predecirlo en Io más mínimo. Por otro lado, un protocolo de compromiso, que impide Ia manipulación fraudulenta por parte de cualquiera de las partes que intervienen en Ia generación compartida. Además, con el principal objetivo de proporcionar más seguridad a este proceso de generación, se considera en Ia presente invención Ia utilización de otras herramientas criptográficas adicionales, como pueden ser las firmas digitales, simples o distribuidas, que garanticen Ia integridad, Ia autenticidad y el no-repudio. El registro protegido asociado a este evento significativo de generación compartida de azar guardará, en una implementación preferida, Ia información digital necesaria que permita posteriormente reproducir de manera fidedigna el proceso de generación compartida del azar, pudiendo verificar que se cumplen las características de seguridad mencionadas anteriormente. Existen otro tipo de eventos significativos de juego importantes a tener en cuenta en Ia normal operación de un módulo de juego y en las interacciones de éste con los jugadores. Por ejemplo, el establecimiento o Ia actualización de parámetros relativos a Ia cuenta de un jugador (tales como las cantidades máximas a jugar por partida o detalles relativos a los métodos de pago que se emplearan para el pago y el cobro de las apuestas y los premios). También el propio pago de premios se puede considerar un evento significativo de juego. También Ia realización de notificaciones o comunicaciones por parte del módulo de juego a un jugador (notificaciones por ejemplo relativas al tiempo total que un jugador lleva jugando). Finalmente, un último ejemplo de evento significativo sería el abandono del juego o de una partida por parte de un jugador.

El método de Ia presente invención se caracteriza porque durante el juego, para cada evento significativo de juego (o al menos para cada uno de los eventos significativos de un conjunto de ellos que se considere oportuno), el módulo de seguridad genera un registro que permitirá reproducir fielmente el evento significativo relacionado. Además dicho registro es protegido para evitar cualquier manipulación posterior una vez ha sido generado. El conjunto de registros protegidos se almacena en Io que se denomina un archivo de registros protegidos. Este archivo de registros protegidos permitirá al módulo de auditoría verificar el correcto funcionamiento del juego según se especificará más adelante.

Más detalladamente conforme al método propuesto, para cada uno de al menos un subconjunto de dichos eventos significativos de juego, se realizan (ver Fig. 2) las siguientes etapas: a) aportación a un módulo de seguridad, por parte de un módulo de juego destinado a interactuar con al menos un jugador, de una información digital que contiene al menos parte de un evento significativo; b) generación en el módulo de seguridad de un registro protegido de al menos parte del evento significativo a partir de Ia información digital recibida en Ia etapa a) anterior; y c) almacenamiento del registro protegido, dando lugar a un archivo digital de registros protegidos. En determinados momentos, un módulo de auditoría destinado a Ia generación de una información de auditoría, realiza una verificación, a partir de al menos parte de dicho archivo digital de registros protegidos, del correcto desarrollo del juego acontecido. Dicha verificación no se realiza necesariamente de manera permanente para cada uno de los eventos significativos que acontecen en el juego, sino que se puede realizar tras el acontecimiento de un cierto número de eventos significativos. Así, para realizar dicha verificación, el módulo de auditoría toma en consideración un determinado número de dichos eventos significativos, seleccionándolos en función de un criterio de auditoría. Este criterio de auditoría puede estar condicionado a Ia propia lógica del juego o, también, venir determinado por ejemplo por Ia regulación específica en materia de juego por medios electrónicos. Por ejemplo, se podrían tomar en consideración todos los eventos significativos de juego acontecidos durante Ia última semana.

Dichos módulo de juego, módulo de seguridad, y módulo de auditoría, son susceptibles de diversos grados de dispersión y/o agrupación, y se emplean unos protocolos criptográficos destinados a Ia protección de dichos registros. El subconjunto de eventos significativos para cada uno de los cuales se realizan las etapas a) a c) anteriores dependerá de las diferentes implementaciones. En una implementación preferida, dicho subconjunto es el total de los eventos significativos acontecidos durante el desarrollo del juego. En una implementación preferida, el módulo de juego almacena el archivo digital de registros protegidos en una base de datos. Adicionalmente, los registros protegidos pueden almacenarse en un dispositivo de almacenamiento de escritura de una sola vez, para incrementar Ia protección física que se les confiere a los registros. En todo caso, Ia presente invención contempla Ia posibilidad de mantener el archivo digital de registros protegidos al margen del módulo de juego, para incrementar su independencia del mismo.

Antes de realizar Ia aportación de información digital descrita en Ia anterior etapa a), el módulo de juego puede opcionalmente marcar digitalmente dicha información digital (por ejemplo mediante una firma digital simétrica o asimétrica) para asegurar Ia autenticidad e integridad de dicha información digital.

Después de que el módulo de juego haya aportado al módulo de seguridad Ia información digital relativa a un evento significativo, el módulo de seguridad genera un registro protegido para dicho evento significativo. La protección de dicho registro puede ser diversa. En una implementación preferida se utilizan protocolos criptográficos. Las claves necesarias para dichos protocolos criptográficos pueden ser guardadas en el propio módulo de seguridad. En una implementación preferida se guardarían en el submódulo criptográfico, para dotarlas de protección física (una tarjeta inteligente o un sistema hardware sellado ofrecen un acceso muy restringido a determinadas zonas de memoria interna).

La protección de los registros pretende dar solución principalmente a las siguientes amenazas:

- Modificación del orden en el que se suceden los eventos significativos durante el juego. Una alteración de dicho orden podría dar lugar a manipulaciones fraudulentas, variando por ejemplo, el ganador o ganadores del juego. - Eliminación de eventos significativos. De nuevo, esta acción puede llevar a alteraciones en el resultado lógico del juego.

- Manipulación de eventos significativos.

- Adición posterior de eventos significativos que en realidad no sucedieron.

La protección que se confiere a los registros de eventos significativos debe garantizar inmunidad ante las amenazas descritas, pero simultáneamente debe representar un proceso eficiente que no degrade el rendimiento del módulo de seguridad en exceso. En Ia presente invención se sugieren diferentes propuestas para Ia protección de dichos registros.

Como primera alternativa, se considera el uso de una firma digital

(simétrica -como un HMAC-, o asimétrica -como un RSA-) asociada a cada uno de los registros protegidos que se generan. Sin embargo, esta aproximación es excesivamente costosa desde un punto de vista computacional y además no protege por ejemplo ante Ia amenaza de Ia reordenación de los registros.

Como segunda alternativa se propone Ia adición de cierta información adicional redundante al registro (referente esencialmente a Ia ordenación del mismo), y Ia firma digital del resultado total (de nuevo, utilizando una firma simétrica o asimétrica). La información redundante puede consistir por ejemplo en un simple número de secuencia o en un valor resumen encadenado (obtenido mediante una función resumen unidireccional a partir del registro actual y de Ia sucesión de diversos registros previos). Con este procedimiento se imposibilitan todas las amenazas introducidas anteriormente. Sin embargo, Ia generación de una firma digital para cada uno de los registros protegidos es todavía ineficiente.

Finalmente, en una implementación preferida de Ia presente invención, se considera una propuesta que no sólo garantiza protección ante Ia totalidad de amenazas expuestas, sino que además representa una alternativa eficiente para ser implementada. Se trata de mantener un registro interno en el módulo de seguridad que almacene el resultado de una función resumen encadenada de los registros protegidos que se van generando. El módulo de seguridad procede a firmar digitalmente (utilizando una firma simétrica o asimétrica) el registro interno según un criterio especificado, como podría ser cada cierto número de registros o cada cierto tiempo. El registro interno, una vez firmado, se almacena conjuntamente con el archivo de registros protegidos.

El proceso de verificación del correcto desarrollo del juego acontecido, por parte del módulo de auditoría, se realiza en una implementación preferida siguiendo los siguientes pasos:

1. Verificación de Ia autenticidad e integridad de los registros protegidos a analizar. Se comprueba que los registros con los que se ha alimentado al módulo son auténticos e íntegros (es decir, que han sido producidos por el módulo de seguridad y no han sido alterados en forma alguna ni han sufrido alteraciones en su ordenación).

2. Reconstrucción de las partidas de juego a partir de los eventos significativos contenidos en los registros protegidos. Cada partida de juego puede ser reconstruida en todos sus pasos críticos, debido a Ia inteligencia sobre los distintos juegos que incorpora el módulo de auditoría y Ia descripción sobre Ia tipología y modalidad de partida que incluyen los registros.

3. Comprobación de un conjunto de características esenciales de confianza del juego. Esta tarea se lleva a cabo contrastando, por un lado, los eventos significativos de juego que acontecieron, y por el otro, las reglas de los juegos y/o unas condiciones preestablecidas (como por ejemplo, procedimientos o parámetros especificados por Ia normativa relevante en materia de juego electrónico). El módulo de auditoría puede incorporar, de origen, las reglas de los juegos y las eventuales condiciones preestablecidas. Alternativamente, éstas Ie pueden ser suministradas o actualizadas por Ia autoridad competente (un auditor o un regulador, por ejemplo). La comprobación que lleva a cabo el módulo de auditoría en este paso incluye características esenciales de confianza del juego tales como: a. Validación de las identidades de los jugadores, comprobando que se trata de mayores de edad y que no se trata de jugadores excluidos. b. Validación de Ia imparcialidad del juego basado en azar, así como del correcto y honesto comportamiento del módulo de juego en base a las reglas de cada juego. c. Validación de Ia inexistencia de movimientos y decisiones de juego sospechosas. En algunos casos, un determinado movimiento de juego puede ser perfectamente válido desde el punto de vista de las reglas de juego pero no obstante puede ser altamente sospechoso (por ejemplo, el abandono en una partida de póquer cuando se dispone de una muy buena mano de cartas). d. Validación del ajuste del juego a los parámetros determinados por las cuentas de cada jugador (por ejemplo, importes máximos a jugar por partida o mensualmente). e. Validación del pago de los premios, mediante por ejemplo Ia comprobación de Ia información generada por las pasarelas de pago de Ia entidad bancaria en relación a cada premio entregado.

4. Generación de informes de auditoría sobre los resultados del paso 3) anterior. Así, por ejemplo, el citado informe puede contener, entre otras, Ia información del estado del crédito del jugador así como los resultados obtenidos en las diferentes tiradas o apuestas. Por ejemplo, algunas regulaciones existentes requieren que este tipo de informes incluyan las ganancias y pérdidas del jugador así como el tiempo que duraron las partidas.

Los informes generados por el módulo de auditoría permiten a Ia entidad auditora comprobar hasta qué punto el juego se ha desarrollado conforme a unos criterios preestablecidos. Además, en caso de que se hayan producido grandes ganancias (o pérdidas), se puede requerir información adicional, como es una revisión exhaustiva de todos y cada uno de los movimientos monetarios de cada uno de los jugadores que han participado durante el desarrollo del juego o bien Ia revisión de las identidades de los diferentes jugadores que han interaccionado con el módulo de juego. La presente invención también contempla Ia posibilidad de un acceso permanente del módulo de auditoría al archivo de registros protegidos, con Ia finalidad de emitir alarmas instantáneas en tiempo real ante actuaciones fraudulentas. Estas alarmas podrían estar dirigidas a auditores o a reguladores, por ejemplo.

En el caso en que los informes de auditoría se remitan, quizás parcialmente, a los jugadores, ello permite que los jugadores puedan comprobar que efectivamente en sus partidas de juego el módulo de seguridad se encontraba implicado y velando por el registro seguro de todo Io acontecido. Este envío de información a los jugadores se puede llevar a cabo en tiempo real a través del sistema de juego con el que interaccionan los jugadores, para permitirles una verificación instantánea del correcto desarrollo de los juegos. Alternativamente, se puede remitir información de auditoría a los jugadores en diferido, mediante diversos canales de comunicación externos tales como el correo electrónico, el envío de mensajes cortos a teléfono móvil (SMS) o Ia publicación de Ia información de auditoría en una determinada página Web accesible a los jugadores.

Claims

REIVINDICACIONES

1. Método para permitir auditorías fiables de una serie de requisitos de confianza preestablecidos para unos juegos por medios electrónicos que incluyen una sucesión de eventos significativos de juego, en cual método se utilizan un módulo de juego, destinado a interactuar con al menos un jugador, un módulo de seguridad destinado a Ia generación de un archivo digital de registros protegidos que toma en consideración al menos un subconjunto de dichos eventos significativos de juego, y un módulo de auditoría destinado a Ia generación de una información de auditoría del juego acontecido, susceptibles de diversos grados de dispersión y/o agrupación, y unos protocolos criptográficos destinados a Ia protección de dichos registros, comprendiendo dicho método, para cada uno de dichos eventos significativos tomados en consideración para Ia generación de dicho archivo digital de registros protegidos, las siguientes etapas: a) aportación, por parte de dicho módulo de juego a dicho módulo de seguridad, de una información digital que contiene al menos parte de dicho evento significativo tomado en consideración; b) generación en dicho módulo de seguridad de un registro protegido a partir de dicha información digital de dicha etapa a); y c) almacenamiento de dicho registro protegido, dando lugar a un archivo digital de registros protegidos, y realizándose, en dicho módulo de auditoría, una verificación del correcto desarrollo del juego acontecido, a partir de al menos una parte de dicho archivo digital de registros protegidos que incluye un determinado número de dichos registros protegidos seleccionados en función de un criterio de auditoría.

2. Método según Ia reivindicación 1 , caracterizado porque dicho subconjunto de dichos eventos significativos de juego es el total de los eventos significativos acontecidos durante el juego.

3. Método según Ia reivindicación 1 caracterizado porque dicha información digital aportada en dicha etapa a) está marcada digitalmente por dicho módulo de juego para impedir Ia manipulación fraudulenta de dicha información digital.

4. Método según Ia reivindicación 3 caracterizado porque dicha marca digital es una firma digital asimétrica.

5. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde a Ia autenticación de un jugador que accede a dicho módulo de juego.

6. Método según Ia reivindicación 5 caracterizado porque dicha autenticación se realiza mediante al menos una de las técnicas del grupo que comprende al menos Ia validación de un nombre de acceso y una palabra clave asociados previamente a dicho jugador, Ia utilización de una infraestructura de clave pública, o el uso de unos patrones biométricos asociados unívocamente a dicho jugador.

7. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde a Ia localización geográfica de un jugador que accede a dicho módulo de juego.

8. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde a una elección o decisión relativa al juego por parte de un jugador.

9. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde a un proceso de generación de un evento azaroso del juego.

10. Método según Ia reivindicación 9 caracterizado porque dicho evento azaroso es generado individualmente por dicho módulo de juego.

11.Método según Ia reivindicación 9 caracterizado porque dicho evento azaroso es generado individualmente por dicho módulo de seguridad.

12. Método según Ia reivindicación 11 caracterizado porque dicho evento azaroso es generado en base a un generador de números aleatorios contenido en dicho módulo de seguridad.

13. Método según Ia reivindicación 11 caracterizado porque dicho evento azaroso es notificado a dicho módulo de juego y dicha información digital enviada en dicha etapa a) por dicho módulo de juego corresponde a una solicitud de evento azaroso o a una confirmación de recepción del mismo.

14. Método según Ia reivindicación 13 caracterizado porque dicha notificación a dicho módulo de juego está marcada digitalmente para garantizar que dicho evento azaroso ha sido generado por dicho módulo de seguridad y que no ha sido manipulado.

15. Método según Ia reivindicación 14 caracterizado porque dicha marca digital es una firma digital asimétrica.

16. Método según Ia reivindicación 9 caracterizado porque dicho evento azaroso es generado de manera compartida entre dicho módulo de juego y dicho módulo de seguridad.

17. Método según Ia reivindicación 16 caracterizado porque dicha información digital enviada en dicha etapa a) por dicho módulo de juego corresponde a una información digital del grupo que comprende al menos una solicitud de generación compartida de evento azaroso, una confirmación de generación de evento azaroso, o unos datos necesarios para dicha generación compartida.

18. Método según Ia reivindicación 17 caracterizado porque el resultado de dicha generación compartida está marcado digitalmente para garantizar que dicho resultado ha sido generado de manera compartida por dicho módulo de juego y dicho módulo de seguridad, y que no ha sido manipulado.

19. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde a un establecimiento o a una actualización de unos parámetros relativos a una cuenta de un jugador.

20. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde a un pago de un premio.

21. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde a una notificación por parte de dicho módulo de juego a un jugador.

22. Método según Ia reivindicación 1 caracterizado porque dicho evento significativo de dichas etapas a), b) y c) corresponde al abandono del juego o de Ia partida por parte de un jugador.

23. Método según Ia reivindicación 1 caracterizado porque dicho archivo digital de registros protegidos de dicha etapa c) se almacena en una base de datos.

24. Método según Ia reivindicación 1 caracterizado porque dicho archivo digital de registros protegidos de dicha etapa c) se almacena en un dispositivo de almacenamiento de escritura de una sola vez.

25. Método según Ia reivindicación 1 caracterizado porque dicho archivo digital de registros protegidos de dicha etapa c) se almacena independientemente de dicho módulo de juego.

26. Método según Ia reivindicación 1 caracterizado porque dicho registro protegido generado en dicha etapa b) se protege mediante el uso de protocolos criptográficos y al menos una clave.

27. Método según Ia reivindicación 26, caracterizado porque dicha clave está guardada en dicho módulo de seguridad con medidas de protección física.

28. Método según Ia reivindicación 27 caracterizado porque dichas medidas de protección física incluyen al menos Ia utilización de un dispositivo del grupo que comprende al menos un sistema hardware sellado o una tarjeta inteligente.

29. Método según Ia reivindicación 1 caracterizado porque Ia protección de dicho registro protegido generado en dicha etapa b) se realiza mediante al menos una marca digital para garantizar Ia autenticidad e integridad de dicho registro protegido.

30. Método según Ia reivindicación 29 caracterizado porque dicha marca digital es una firma digital asimétrica.

31. Método según Ia reivindicación 1 caracterizado porque Ia protección de dicho registro protegido generado en dicha etapa b) se realiza mediante al menos una marca digital para garantizar Ia ordenación de dicho registro protegido dentro de Ia secuencia de registros protegidos generados durante el juego.

32. Método según Ia reivindicación 31 caracterizado porque dicha marca digital contiene al menos un número de secuencia.

33. Método según Ia reivindicación 31 caracterizado porque dicha marca digital contiene al menos un valor resumen encadenado.

34. Método según Ia reivindicación 29 ó 31 caracterizado porque dicha marca digital se almacena en dicha etapa c) conjuntamente con dicho registro en dicho archivo de registros protegidos.

35. Método según Ia reivindicación 29 ó 31 caracterizado porque dicha marca digital se mantiene en dicho módulo de seguridad asociada a un cierto número de dichos registros, almacenándose en dicha etapa c) en dicho archivo de registros protegidos después de dicho cierto número de dichos registros.

36. Método según Ia reivindicación 1 caracterizado porque dicha verificación realizada en dicho módulo de auditoría comprende Ia comprobación de Ia autenticidad e integridad de dichos registros protegidos de dicha parte de dicho archivo de registros protegidos.

37. Método según Ia reivindicación 1 caracterizado porque dicha verificación realizada en dicho módulo de auditoría comprende Ia reconstrucción, a partir de dicha parte de dicho archivo de registros protegidos, de dichos eventos significativos acontecidos en el juego.

38. Método según Ia reivindicación 37 caracterizado porque dicha verificación realizada en dicho módulo de auditoría comprende el análisis de dichos eventos significativos de juego reconstruidos, para verificar un conjunto de requisitos preestablecidos esenciales para Ia confianza y el desarrollo honesto de dichos juegos por medios electrónicos.

39. Método según Ia reivindicación 38 caracterizado porque dicho análisis se realiza en base a unas reglas de dichos juegos y/o unas condiciones preestablecidas, que incorpora dicho módulo de auditoría y/o que Ie son suministradas.

40. Método según Ia reivindicación 38 caracterizado porque dichos requisitos incluyen al menos Ia validación de Ia condición de jugadores autorizados respecto de los jugadores que han participado en el juego por medios electrónicos.

41. Método según Ia reivindicación 38 caracterizado porque dichos requisitos incluyen al menos Ia validación de Ia honestidad del juego, comprobando el correcto comportamiento de dicho módulo de juego en base a las reglas de cada juego.

42. Método según Ia reivindicación 38 caracterizado porque dichos requisitos incluyen al menos Ia validación de Ia imparcialidad del juego, comprobando Ia correcta generación de los eventos azarosos.

43. Método según Ia reivindicación 38 caracterizado porque dichos requisitos incluyen al menos Ia validación de Ia inexistencia de movimientos y decisiones de juego sospechosas de fraude.

44. Método según Ia reivindicación 38 caracterizado porque dichos requisitos incluyen al menos Ia validación del ajuste del desarrollo del juego a unos parámetros preestablecidos y/o determinados por las cuentas de cada jugador.

45. Método según Ia reivindicación 44 caracterizado porque dichos parámetros son algunos del conjunto que contiene entre otros los importes máximos a jugar por partida o los importes máximos a jugar mensualmente.

46. Método según Ia reivindicación 38 caracterizado porque dichos requisitos incluyen al menos Ia validación del correcto pago de premios.

47. Método según Ia reivindicación 1 caracterizado porque tras dicha verificación, dicho módulo de auditoría realiza una etapa adicional de generación de al menos un informe de auditoría.

48. Método según Ia reivindicación 47 caracterizado por el envío de al menos parte de dicho/s informe/s de auditoría a dicho jugador.

49. Método según Ia reivindicación 48 caracterizado porque dicho envío se realiza mediante al menos uno de los medios del grupo que comprende al menos un mensaje al teléfono móvil de dicho jugador, Ia publicación en un sitio Web accesible a dicho jugador, o un correo electrónico a dicho jugador.

50. Sistema de juego por medios electrónicos que genera un archivo de registros protegidos que permite verificar Ia confianza de unos juegos por medios electrónicos que incluyen una sucesión de eventos significativos, para implementar el método descrito en las reivindicaciones 1 a 49, comprendiendo: a) un módulo de juego con el que interactúa al menos un jugador, configurado para llevar a cabo el desarrollo del juego y que integra: i. unos medios de entrada y salida de datos para transmitir al menos una información digital que contiene al menos parte de unos eventos significativos de juego; ii. unos medios de procesamiento; iii. unos medios de presentación o envío de al menos algunos de dichos eventos significativos a dicho jugador; iv. unos medios de introducción de datos que permitan a dicho jugador seleccionar unas acciones y/o tomar unas decisiones de juego; caracterizado porque comprende los siguientes módulos adicionales: b) al menos un módulo de seguridad adaptado para su interconexión o integración con dicho módulo de juego, que genera, a partir de al menos un subconjunto de dichos eventos significativos del juego, unos registros protegidos, almacenando todos ellos en un archivo de registros protegidos, integrando dicho módulo de seguridad: i. unos medios de procesamiento; ii. unos medios de entrada y salida de datos para obtener al menos dicha información digital aportada por dicho módulo de juego que contiene al menos parte de dichos eventos significativos; iii. unos medios de almacenamiento para almacenar dichos registros protegidos una vez generados; y c) un módulo de auditoría adaptado para tener acceso a dicho archivo de registros protegidos, que comprende: i. unos medios de entrada y salida de datos para al menos acceder a parte de dicho archivo de registros protegidos almacenado por dicho módulo de seguridad; y ii. unos medios de procesamiento para procesar información relativa a dichos registros protegidos de dicho archivo.

51. Sistema según Ia reivindicación 50 caracterizado porque dispone de medios para proporcionar una interacción presencial, a través de un sistema tal como un terminal de video lotería, de dicho jugador con dicho módulo de juego.

52. Sistema según Ia reivindicación 50 caracterizado porque dispone de medios que facilitan una interacción remota, a través de una red de comunicación tal como Internet, de dicho jugador con dicho módulo de juego.

53. Sistema según Ia reivindicación 50 caracterizado porque dicho módulo de seguridad comprende un submódulo criptográfico y un submódulo de almacenamiento.

54. Sistema según Ia reivindicación 53 caracterizado porque dicho submódulo criptográfico integra un hardware sellado que proporciona medidas de protección física a al menos parte de dichos medios de procesamiento de dicho módulo de seguridad y/o al menos parte de dichos medios de almacenamiento de dicho módulo de seguridad.

55. Sistema según Ia reivindicación 54 caracterizado porque dicho hardware sellado es escogido del grupo que comprende al menos un módulo hardware de seguridad, una placa criptográfica, o un dispositivo extraíble tal como una tarjeta inteligente.

56. Sistema según Ia reivindicación 53 caracterizado porque dicho submódulo de almacenamiento es un servidor de bases de datos.

57. Sistema según Ia reivindicación 53 caracterizado porque dicho submódulo de almacenamiento se encuentra físicamente separado de dicho submódulo criptográfico y ambos disponen de unos medios de entrada y salida de datos para interconectarse a través de una red de comunicación tal como Internet.

58. Sistema según Ia reivindicación 53 caracterizado porque dicho módulo de auditoría tiene acceso a dicho submódulo de almacenamiento para obtener al menos parte de dicho archivo de registros protegidos.

59. Sistema según Ia reivindicación 50 caracterizado porque dichos medios de procesamiento de dicho módulo de seguridad comprenden un generador de números escogido del grupo que comprende al menos un generador hardware de números aleatorios o un algoritmo de generación de números pseudoaleatorios.

60. Sistema según Ia reivindicación 50 caracterizado porque dichos medios de almacenamiento de dicho módulo de seguridad que almacenan dicho archivo de registros protegidos emplean un dispositivo de una sola escritura tal como un WORM ("write once, read many").

61. Sistema según Ia reivindicación 50 caracterizado porque dichos medios de almacenamiento de dicho módulo de seguridad están adaptados para almacenar al menos una clave para su uso en operaciones criptográficas a partir de al menos parte de dicha información digital recibida por dichos medios de entrada y salida y que contiene al menos dichos eventos significativos.

62. Sistema según Ia reivindicación 61 caracterizado porque dichos medios de almacenamiento de dicho módulo de seguridad están adaptados además para registrar al menos parte del resultado de dichas operaciones criptográficas.

63. Sistema según Ia reivindicación 50 caracterizado porque dicho módulo de juego comprende también unos medios de almacenamiento de al menos una clave para su uso en operaciones criptográficas a partir de al menos parte de una información introducida mediante dichos medios de introducción de datos y/o al menos parte de dicha información digital recibida por dichos medios de entrada y salida.

64. Sistema según Ia reivindicación 50 caracterizado porque dicho módulo de juego no tiene interconexión con dicho módulo de auditoría.

65. Sistema según Ia reivindicación 50 caracterizado porque dicho módulo de juego y dicho módulo de seguridad se encuentran interconectados lógicamente.

66. Sistema según Ia reivindicación 65 caracterizado porque dicha interconexión lógica es una API ("Application Programming Interface").

67. Sistema según Ia reivindicación 50 caracterizado porque dicho módulo de seguridad está conectado a un solo módulo de juego o a un número de módulos de juego mayor que uno.

68. Sistema según Ia reivindicación 50 caracterizado porque dicho módulo de auditoría está conectado a un solo módulo de seguridad o a un número de módulos de seguridad mayor que uno.