Proteger Roblox: cómo nuestro departamento de seguridad fomenta la innovación, la confianza y la escalabilidad

En Roblox, la seguridad no se limita a la protección; se trata de facilitar la innovación a una escala que pocas empresas logran alcanzar. Esa filosofía ha guiado nuestro recorrido desde un pequeño equipo de seguridad hasta convertirnos en una organización estratégica que contribuye a impulsar una de las plataformas más dinámicas del mundo.

Cuando me incorporé a Roblox hace dos años y medio, el equipo de Seguridad de la Información estaba formado por solo 28 personas. Teníamos un potencial inmenso, pero aún estábamos demostrando que la seguridad podía ser un aliado, no un obstáculo. Recuerdo estar sentado en nuestra primera reunión de revisión tras un incidente. La discusión no versaba sobre un único fallo técnico, sino sobre la fricción. Escuchamos mientras el equipo de ingeniería nos explicaba su flujo de trabajo, y todo quedó claro. El incidente no se había producido por negligencia; ocurrió debido a una brecha en el sistema. Un punto del proceso en el que faltaba la experiencia en seguridad. Fue entonces cuando me di cuenta de que nuestro papel no se limitaría a prevenir incidentes; consistiría en empoderar a los equipos integrando la seguridad en sus flujos de trabajo, para que pudieran crear con audacia y entregar con confianza.

Ese momento marcó un punto de inflexión. Sabíamos que teníamos que pasar de controles reactivos a una seguridad proactiva y estratégica, integrada en la forma en que Roblox crea y escala. Hoy en día, nuestra organización de seguridad de la información hace más que proteger los sistemas: creamos las bases que ayudan a nuestros creadores a avanzar rápidamente, al tiempo que ganamos y mantenemos la confianza de los usuarios a escala global.

Generar credibilidad e impulso: los primeros dos años y medio

Al principio, nos centramos en generar confianza mediante una presencia constante, resolviendo problemas importantes e integrando la seguridad en el ciclo de vida del desarrollo. Una de las iniciativas más impactantes que lideré fue la transformación de nuestro cortafuegos de aplicaciones web (WAF). Lo hicimos madurar, pasando de ser una herramienta básica a una sólida capa de protección para todos los servicios orientados al exterior. Mediante la automatización, la validación en entornos de prueba y la implementación inteligente de reglas, creamos un control que es a la vez eficaz e invisible para los ingenieros.

Esa mentalidad, «seguro por defecto, no por fricción», se convirtió en un principio rector a medida que maduramos nuestro modelado de amenazas, creamos procesos de revisión escalables y nos ganamos un lugar en la mesa de productos.

Formar parte de este viaje me ha enseñado que la seguridad no se limita a la protección; se trata de potenciar la creatividad y la confianza a gran escala. Ver cómo nuestro equipo crecía de 28 a más de 100 personas, al tiempo que generábamos un impacto a través de la innovación y la colaboración, ha sido una de las experiencias más gratificantes de mi carrera.

Conoce al equipo que hay detrás de todo esto

A medida que nuestra visión se ampliaba, también lo hacía nuestra estructura. Hoy en día, somos más de 100 ingenieros de seguridad, analistas y líderes, organizados en pilares específicos que reflejan nuestra misión en constante evolución. Me enorgullece presentar algunos de los equipos clave que impulsan esta expansión: 

Detección y Respuesta (DART)

Responsable de mantener la confidencialidad, integridad y disponibilidad de los sistemas y datos de Roblox. DART incluye Operaciones de Seguridad, Respuesta a Incidentes, Ingeniería de Detección, Inteligencia de Amenazas, Automatización, Seguridad Ofensiva y Análisis Forense. Este equipo identifica y responde de forma proactiva a las amenazas emergentes, al tiempo que permite que nuestra plataforma escale de forma segura.

• Logro reciente: ha creado una automatización basada en IA para coordinar la respuesta a incidentes en múltiples flujos de trabajo, minimizando los obstáculos operativos y permitiendo a los equipos centrarse en tareas de resolución críticas.

Seguridad de la plataforma

Protege nuestra red, la nube, la gestión de identidades y accesos (IAM) en producción y la infraestructura híbrida. El equipo ofrece capacidades escalables como plantillas de Kubernetes seguras por defecto, gestión de secretos y control de acceso granular.

• Impacto: Durante el último año, el equipo ha proporcionado plataformas escalables y de alto rendimiento para la creación y revocación de secretos en tiempo real, la autorización detallada de autoservicio, interfaces de acceso a producción seguras y la segmentación de red basada en eBPF. Estas capacidades han permitido a Roblox escalar rápidamente sin aumentar el riesgo para nuestra comunidad.

Gobernanza, riesgo y cumplimiento (GRC)

Refuerza la seguridad empresarial mediante un enfoque basado en el riesgo y en los datos para las políticas, la gestión de riesgos de los proveedores, la revisión mediante IA y la validación de controles. GRC permite a todos los desarrolladores tomar decisiones informadas al tiempo que acelera la innovación segura.

• Aspecto destacado: Aceleró significativamente el proceso de revisión de seguridad de los proveedores mediante la automatización, reduciendo drásticamente los tiempos de respuesta habituales y permitiendo a los equipos actuar con mayor rapidez.

Seguridad empresarial

Se centra en la identidad corporativa, la protección de los puntos finales, la seguridad del SaaS y la seguridad de nuestro personal de soporte externo.

• Impacto: Se han introducido comprobaciones del estado de los dispositivos en el flujo de autenticación de los empleados, lo que ha impulsado un alto nivel de cumplimiento en toda la empresa.

Seguridad de las aplicaciones

Se sitúa en la intersección entre la ingeniería y la seguridad, permitiendo un desarrollo seguro a través de revisiones, herramientas y automatización de CI/CD, incluyendo el escaneo de código seguro, contenedores reforzados y la integridad de la cadena de suministro.

• Innovación: Lanzamos un flujo de trabajo de generación de reglas WAF impulsado por ML que analiza los patrones de tráfico específicos de Roblox para filtrar el ruido, detectar ataques y solicitudes malformadas, y generar automáticamente reglas de listas de permitidos específicas para aplicaciones y servicios.

Seguridad global

Ofrece servicios de seguridad física y digital en todo el mundo. El Centro de Operaciones de Seguridad Global (GSOC) opera las 24 horas del día, los 7 días de la semana, para gestionar amenazas, coordinar incidentes y proteger eventos a gran escala.

• Aspecto destacado: Garantizó con éxito la seguridad de la Conferencia de Desarrolladores de Roblox (RDC) de 2024, gestionando la seguridad de miles de asistentes en múltiples recintos.

Ingeniería de privacidad

Desarrolla herramientas e infraestructura para el cumplimiento normativo de la privacidad a escala. Utiliza IA para automatizar la clasificación de datos, generar código de cumplimiento y reducir el esfuerzo manual, respaldando el RGPD, la CCPA y las iniciativas de gobernanza interna.

• Logro reciente: ha implantado un sistema centralizado para evaluaciones de impacto en la privacidad (PIA) automatizadas, lo que reduce los ciclos de revisión y permite realizar revisiones de privacidad escalables en equipos que trabajan a un ritmo acelerado.

¿Qué hace que la seguridad en Roblox sea única?

Pocas empresas operan a la escala de Roblox, con decenas de millones de usuarios activos diarios en una plataforma global impulsada por una infraestructura híbrida local y en la nube, un ritmo de lanzamiento de productos acelerado y un ecosistema de desarrolladores dinámico.

Ante esta complejidad, un modelo de seguridad tradicional fracasaría. Por eso nuestra convicción fundamental es diferente: la seguridad no solo debe proteger, sino también acelerar. Lo logramos a través de una cultura de empoderamiento que permite a cada ingeniero convertirse en un multiplicador de fuerzas. En lugar de un proceso único para todos, nuestro modelo operativo es flexible y se basa en la colaboración. Permitimos que los equipos actúen con rapidez proporcionando medidas de protección automatizadas y herramientas de autoservicio para el desarrollo diario, al tiempo que reservamos nuestra colaboración profunda y práctica para las funciones más complejas y de alto riesgo. Todo este enfoque se vuelve proactivo, ya que nos esforzamos por integrarnos en los ciclos de planificación y generación de ideas en toda la empresa para ayudar a los equipos a incorporar la seguridad desde el principio.

Este equilibrio entre automatización y colaboración da a nuestros ingenieros la capacidad no solo de plantear inquietudes, sino también de impulsar mejoras, fomentando la autonomía en todos los niveles.

Con el objetivo de alcanzar los 1000 millones de usuarios activos diarios, nuestro trabajo abarca la protección de las interacciones en tiempo real, la seguridad del contenido generado por los usuarios y el apoyo a las innovaciones en simulación 3D, IA y economías digitales. Estos retos nos obligan a inventar constantemente nuevos enfoques, desde sistemas de revisión de seguridad escalables y detección de amenazas basada en el aprendizaje automático hasta la automatización de la privacidad y medidas de seguridad que dan prioridad a los desarrolladores.

No solo nos mantenemos al día; estamos construyendo el futuro. Eso es lo que hace que la seguridad en Roblox sea diferente.

Construye con nosotros

Hemos construido una base sólida, pero los retos más emocionantes aún están por llegar. Desde la ampliación de la IA responsable hasta el avance en la protección de la identidad y las herramientas de seguridad centradas en los desarrolladores, nos centramos en dar forma a lo que será la seguridad moderna a escala global.

Si buscas resolver problemas reales, liderar con impacto y ayudar a dar forma al futuro de Internet, te invitamos a unirte a nosotros. 

Construyamos juntos el futuro de la seguridad.