Anticheat de FiveM y jugadores falsos: guía de compatibilidad

La compatibilidad anticheat es la pregunta más técnicamente cargada que los operadores hacen sobre nuestro servicio de jugadores falsos de FiveM. Esta guía proporciona una explicación detallada de qué significa la compatibilidad para cada sistema anticheat, qué superficies de detección utiliza cada sistema, y cómo se ven, para cada escáner, las conexiones de jugadores falsos que completan la población de tu servidor.

Cubrimos cuatro sistemas anticheat que probablemente estás ejecutando en tu servidor FiveM: FiveGuard, Electron, Waveshield y Reaper. Para cada sistema, describimos qué analiza en el nivel de conexión basándose en el comportamiento observable públicamente, cómo aparecen las conexiones de jugadores falsos para cada escáner, y qué ajustes de configuración previenen los falsos positivos. Seremos explícitos sobre qué hemos probado y dónde termina nuestro conocimiento.

Esta documentación importa porque los riesgos son reales. Una sesión de jugadores falsos mal configurada que desencadena expulsiones falsas de tu anticheat provoca caídas visibles en el número de jugadores en el navegador de servidores, crea ruido en tus registros anticheat y desperdicia el presupuesto que estás gastando en jugadores falsos. Hacer bien la configuración desde el principio evita todo eso.

Cómo difieren las conexiones de jugadores falsos de las conexiones de jugadores reales

Antes de cubrir cada sistema anticheat, es útil entender cómo se ve una conexión de jugador falso a nivel de red comparado con una conexión de cliente de juego real. Entender esta distinción es la base para comprender por qué algunas superficies de detección aplican y otras no.

Un cliente FiveM real establece una conexión a través del software cliente de juego FiveM que se ejecuta en el ordenador del jugador. El cliente presenta una licencia CFX válida, descarga y carga el manifiesto de recursos del servidor, inicializa el estado del juego y genera patrones de tráfico asociados con el protocolo de red del juego incluyendo actualizaciones de movimiento, paquetes de estado de entidad y otras comunicaciones dentro de la sesión. Un cliente real también tiene presencia a nivel de proceso en el ordenador del jugador: un ejecutable en ejecución, DLLs cargadas, asignaciones de memoria activas.

Una conexión de jugador falso es una conexión de red ligera que satisface el protocolo de handshake de conexión del servidor sin ejecutar el cliente de juego completo. La conexión mantiene presencia en la lista de jugadores del servidor, contribuye al recuento de jugadores que reporta la API CFX, y aparece en el registro de conexión de txAdmin como un jugador conectado. No hay ningún proceso de cliente de juego ejecutándose en ninguna máquina. No hay DLLs cargadas. No hay ningún estado de juego siendo procesado.

Esta distinción es directamente relevante para la compatibilidad anticheat. Los sistemas anticheat que escanean procesos del lado del cliente, DLLs y memoria no pueden ver los jugadores falsos en el sentido de escanearlos, porque no hay ningún proceso de cliente que escanear. Los sistemas anticheat que operan a nivel del handshake de conexión o del patrón de tráfico pueden observar conexiones de jugadores falsos y pueden tener lógica de detección que aplica. La pregunta es si esa lógica está ajustada para señalar los patrones que producen las conexiones de jugadores falsos.

FiveGuard: el sistema más común en el mercado

FiveGuard es el sistema anticheat más ampliamente desplegado en el ecosistema de servidores FiveM a mayo de 2026. Es el sistema más citado en las preguntas de los operadores sobre compatibilidad de jugadores falsos, en parte porque es muy común y en parte porque los operadores quieren confirmar que las conexiones de jugadores falsos aparecen correctamente en el panel de operador de FiveGuard.

FiveGuard opera a través de superficies de detección tanto del lado del cliente como del servidor. Entender cuál de estas superficies aplica a las conexiones de jugadores falsos es el núcleo de la pregunta de compatibilidad.

En el lado del cliente, FiveGuard escanea DLLs modificadas, procesos inyectados y patrones de manipulación de memoria que indican que un cliente de trampa está ejecutándose. Los jugadores falsos no tienen ningún proceso del lado del cliente. No hay nada para que el módulo de cliente de FiveGuard escanee en el lado del jugador falso porque ningún cliente de juego está ejecutándose en ninguna máquina para esa conexión. El escaneo del lado del cliente simplemente no es una superficie relevante para el análisis de compatibilidad de jugadores falsos.

En el lado del servidor y la conexión, FiveGuard puede observar metadatos de conexión, patrones de tráfico y comportamiento del jugador durante una sesión. Aquí es donde el trabajo de compatibilidad es relevante. Nuestra implementación de jugadores falsos produce patrones de tráfico consistentes con un jugador conectado pero inactivo en lugar de los patrones asociados con bots automatizados, herramientas de inundación de conexiones u otros patrones de conexión adversariales que FiveGuard está diseñado para detectar.

• Escaneo de DLL del lado del cliente: no aplicable, no existe proceso de cliente para la conexión de jugador falso
• Detección de inyección de proceso: no aplicable, no hay proceso de cliente en ninguna máquina
• Comprobaciones de metadatos de conexión: nuestra implementación pasa la validación estándar del handshake
• Análisis de patrones de tráfico: nuestras conexiones producen patrones consistentes con un jugador inactivo
• Visibilidad del panel de operador: los jugadores falsos aparecen en la lista de jugadores de FiveGuard como se espera
• Detección de comportamiento durante la sesión: no se generan eventos de movimiento o acción en el juego

Electron: identidad de hardware e integridad de sesión

Electron es un sistema anticheat de FiveM con un fuerte énfasis en la verificación de identidad de hardware e integridad del cliente. Está diseñado para asociar identidades de sesión de jugadores con huellas de hardware, haciendo que la evasión de bans sea significativamente más difícil para los tramposos reales que intentan eludir los bans creando nuevas cuentas.

Para la compatibilidad de jugadores falsos, la distinción del lado del cliente y el servidor se aplica de nuevo. El sistema de huellas de hardware de Electron, la aplicación de bans HWID y la comprobación de integridad de procesos de cliente operan todos en la máquina del cliente de juego. Los jugadores falsos no tienen una máquina cliente en el sentido que asume el escaneo de Electron. La superficie de huellas de hardware no aplica.

Electron también incluye monitoreo de sesión del lado del servidor que observa patrones de comportamiento de conexión que parecen anómalos en relación con sesiones normales de jugadores. Aquí es donde nuestro trabajo de implementación importa. Nuestras conexiones de jugadores falsos están configuradas para producir comportamiento a nivel de sesión consistente con un jugador conectado pero inactivo, no las firmas de comportamiento asociadas con los patrones de ataque que apunta la detección de anomalías de Electron.

Una preocupación de configuración específica con Electron: algunas configuraciones de servidor incluyen reglas de tiempo de espera para jugadores inactivos que expulsan jugadores que han estado conectados sin generar eventos de movimiento o juego durante un período definido. Los jugadores falsos no generan eventos de movimiento de forma predeterminada. Si tu configuración de Electron tiene un tiempo de espera estricto para inactivos, puedes ver las conexiones de jugadores falsos expulsadas después de que venza la ventana de tiempo de espera en lugar de por la lógica de detección.

Waveshield: análisis de tráfico de red y tasa de conexión

Waveshield opera principalmente a nivel de red y tráfico. Está diseñado para proteger los servidores de juegos contra ataques DDoS, inundaciones de conexiones y anomalías de tráfico. A diferencia de FiveGuard y Electron, la misión principal de Waveshield es la protección de red en lugar de la detección de trampas dentro de la sesión. Su relevancia para la compatibilidad de jugadores falsos proviene de su análisis de patrones de conexión.

Dado que Waveshield analiza los patrones de conexión como indicador de tráfico de ataque, las conexiones de jugadores falsos deben ser indistinguibles de las conexiones normales de jugadores a nivel del protocolo de red. Un conjunto de jugadores falsos conectándose simultáneamente en una ventana corta puede parecer una ráfaga de conexiones o un intento de inundación suave a la lógica de limitación de velocidad de Waveshield, especialmente si las conexiones comparten patrones de dirección IP que Waveshield asocia con tráfico automatizado.

Nuestras pruebas confirman que los servidores protegidos con Waveshield pueden ejecutar jugadores falsos sin disparar la detección de inundación cuando la tasa de conexión se gestiona correctamente. El detalle operativo clave es la rampa gradual de conexiones en lugar de la conexión simultánea de todos los jugadores falsos.

Nuestra infraestructura distribuye las conexiones de jugadores falsos a través de múltiples direcciones de egreso en múltiples regiones. Esto evita que la fuente de conexión parezca una ráfaga de un solo origen para el análisis de patrones de Waveshield. Una sesión de 30 jugadores conectándose gradualmente desde direcciones distribuidas durante varios minutos parece 30 jugadores reales uniéndose a través del descubrimiento normal del navegador, que es exactamente lo que se supone que debe simular.

1. Inicia las conexiones de jugadores falsos gradualmente, no todas a la vez. Permite que las conexiones se extiendan durante 5 a 10 minutos.
2. Permite que cada lote de conexiones se estabilice antes de agregar el siguiente grupo.
3. No reinicies la sesión de jugadores falsos repetidamente en intervalos cortos durante la misma ventana operativa.
4. Si Waveshield expulsa conexiones, reduce la tasa de conexión por minuto y vuelve a probar.
5. Comprueba si tu configuración de Waveshield incluye un límite de tasa de conexión por IP o por subred que podría agrupar nuestras conexiones a pesar de su naturaleza distribuida.
6. Contacta nuestro canal de soporte con tu versión de Waveshield y detalles de configuración si los ajustes básicos no resuelven las expulsiones.

Reaper: detección basada en comportamiento dentro de la sesión

Reaper adopta un enfoque basado en comportamiento para la detección anticheat que difiere significativamente del análisis a nivel de red de Waveshield y el enfoque en identidad de hardware de Electron. En lugar de basarse en la coincidencia de firmas o análisis de tasa de conexión, Reaper monitorea el comportamiento de los jugadores dentro de la sesión en busca de patrones asociados con trampas: movimiento que excede los límites de física, cambios de posición imposibles entre ticks, secuencias de acciones programadas que ningún humano podría ejecutar, y huellas de comportamiento similares.

Los jugadores falsos son conexiones inactivas sin ningún comportamiento dentro del juego. No se mueven. No disparan armas. No generan eventos de colisión ni interactúan con entidades del mundo del juego. Esto los coloca completamente fuera del perfil de comportamiento que monitorea la lógica de detección de Reaper. Un jugador falso que produce cero eventos de comportamiento dentro de la sesión no produce las firmas que desencadenan la detección de Reaper.

Nuestras pruebas son consistentes con cómo funciona el anticheat basado en comportamiento en este contexto: los sistemas que apuntan al comportamiento activo de trampa dentro de la sesión no marcan a los jugadores que están conectados pero que no generan eventos de juego. La superficie de detección simplemente no aplica al perfil de comportamiento de una conexión de jugador falso.

Escaneo nativo de txAdmin y visibilidad del panel de operador

txAdmin mismo incluye herramientas de monitoreo del lado del servidor y gestión de jugadores. Los jugadores falsos aparecen en la lista de jugadores conectados de txAdmin como se espera. Se muestran con los nombres que has configurado, muestran la duración de conexión, y persisten en la lista durante toda la sesión. La integración nativa de txAdmin significa que los jugadores falsos son indistinguibles de los jugadores reales en el panel de gestión de jugadores.

txAdmin no tiene un mecanismo de detección dedicado para las conexiones de jugadores falsos como categoría distinta de los jugadores reales. Cuando decimos que nuestro servicio tiene integración nativa de txAdmin, queremos decir que las conexiones se establecen de una manera que el sistema de monitoreo de jugadores de txAdmin reconoce como sesiones de jugadores válidas en lugar de conexiones malformadas o tipos de conexión desconocidos.

Una nota operativa: las herramientas de expulsión y ban de jugadores de txAdmin operan en los identificadores de jugadores que presentan las conexiones de jugadores falsos. Si un administrador accidentalmente expulsa o banea una conexión de jugador falso a través del panel de txAdmin, el comportamiento depende de tu configuración de jugadores falsos. La mayoría de los proveedores, incluyéndonos a nosotros, reconectarán automáticamente los jugadores falsos expulsados en el siguiente ciclo de conexión. Si ves fluctuaciones en los recuentos de jugadores falsos, revisa tu registro de acciones de txAdmin en busca de expulsiones accidentales.

Pasos de configuración antes del despliegue con cualquier anticheat

Independientemente del anticheat que estés ejecutando, los principios de configuración que apoyan la compatibilidad son consistentes en todos ellos. Seguir estos pasos antes de tu primer despliegue de jugadores falsos con una nueva versión anticheat reduce la probabilidad de expulsiones inesperadas y el tiempo de depuración que sigue.

1. Documenta tu nombre de anticheat actual y número de versión antes de probar. La versión importa cuando necesitas reportar un problema de compatibilidad.
2. Comienza con el recuento mínimo de jugadores, 15 jugadores, en lugar de tu recuento objetivo completo para la sesión de prueba inicial.
3. Aumenta las conexiones gradualmente durante 5 a 10 minutos en lugar de conectar todos los jugadores simultáneamente.
4. Monitorea tu panel anticheat y tu registro de jugadores de txAdmin para eventos de expulsión o ban en los primeros 30 minutos.
5. Comprueba la lista de jugadores de txAdmin para confirmar que los jugadores falsos aparecen como jugadores nombrados y conectados.
6. Si ocurren expulsiones, anota el tiempo y la frecuencia. El tiempo consistente sugiere un tiempo de espera de inactividad. El tiempo aleatorio sugiere un problema de tasa o patrón.
7. Si ves comportamiento inesperado con una versión específica de anticheat, contacta nuestro canal de soporte con el nombre del anticheat, la versión y el comportamiento específico que estás observando.

Lo que no podemos prometer sobre la compatibilidad anticheat

No afirmaremos que nuestra implementación de jugadores falsos es permanentemente compatible con cada versión de cada sistema anticheat indefinidamente. Los proveedores de anticheat actualizan su lógica de detección, cambian sus umbrales de comportamiento y añaden nuevas superficies de escaneo sin notas de versión públicas en la mayoría de los casos. Una configuración que pasa FiveGuard versión X sin incidentes puede comportarse diferente con la versión Y del mismo sistema si la versión Y introduce una nueva heurística de conexión inactiva o cambia su línea base de patrón de tráfico.

La expectativa correcta es mantenimiento continuo en lugar de una garantía estática. Monitoreamos el ecosistema anticheat, hacemos seguimiento de las actualizaciones de versiones de los principales proveedores, y respondemos a los informes de operadores cuando surgen nuevos problemas de compatibilidad. Cuando una actualización anticheat cambia el comportamiento que afecta nuestra implementación, actualizamos nuestra implementación y documentamos el cambio.

Si actualizas tu anticheat a una nueva versión principal y posteriormente notas que las conexiones de jugadores falsos se están descartando o marcando, no asumas que el servicio está indefinidamente roto. Las actualizaciones de versiones principales son el desencadenante más común para cambios de compatibilidad. El proceso de diagnóstico estándar es verificar el registro de cambios del anticheat si está disponible, reducir la tasa de conexión al mínimo para aislar si es un problema de tasa o de detección, y contactar nuestro canal de soporte con la información de versión.

Próximos pasos

Para un examen más profundo de cómo funciona la anti-detección a nivel de conexión de red, incluyendo los vectores de detección específicos que aborda nuestra implementación y cómo funciona la huella de conexión en el ecosistema CFX, el explicador de anti-detección cubre los fundamentos técnicos con más detalle.