Metaverso y una nueva generación de amenazas de seguridad

Si su organización aún no se está moviendo hacia el metaverso, pronto lo hará. Tenga cuidado: es posible que los protocolos de seguridad y las leyes de privacidad actuales no se apliquen a los mundos 3D.

Por Deb Radcliff | Original de IDGN

El metaverso está llegando. Las empresas y las agencias gubernamentales ya están construyendo mundos virtuales para respaldar los servicios de la ciudad, las reuniones y conferencias; la construcción de comunidades y el comercio.

También están ofreciendo aplicaciones espaciales relacionadas con viajes, ventas de automóviles, fabricación y arquitectura en lo que Citi predice que será un mercado de US$ 13 billones (Millard os en numeración española) con 5000 millones de usuarios para 2030.

“Así como Internet, el comercio electrónico, las redes sociales, los teléfonos inteligentes y la computación remota cambiaron en las últimas dos décadas la forma en que las empresas operan y llegan a sus empleados y clientes, las organizaciones ahora están experimentando con el metaverso porque ven esto como una extensión de transformaciones previas”, dice Cathy Barrera, economista fundadora de Prysm Group, que se asocia con Wharton School para impartir programas de educación ejecutiva sobre negocios de metaverso y cadenas de bloques.

¿A buen resguardo?

Por supuesto, surgirán nuevos problemas de privacidad y seguridad dentro de estos mundos 3D.

A medida que los proveedores de plataformas compiten por el dominio, esperan riesgos similares en el metaverso a los que hemos visto en las redes sociales como:

Phishing
Pharming
Suplantación de identidadd
Desinformación
E incursiones de ransomware

También habrá nuevos impactos en la privacidad del consumidor porque la cantidad de datos ricos y detallados recopilados por estas aplicaciones son objetivos jugosos tanto para los delincuentes como para los comerciantes.

“Las tecnologías Metaverse requerirán que se recopilen muchos más datos de los que ya se recopilan en las redes sociales, como por ejemplo, cómo gira la cabeza y dónde se enfocan los ojos solo para colocar las pantallas correctamente”, dice Barerra.

Nuevas fronteras del engaño

Los delitos basados en la ingeniería social ya proliferan en la Internet 2.0 actual.

Los operadores de ransomware usan un buen gancho para que las personas:

Hagan clic en los enlaces de los correos electrónicos, Google y otros motores de búsqueda
Publican anuncios maliciosos en las redes sociales
E, incluso a través de videoconferencias y plataformas de chat

Ahora, considere la Internet inmersiva en 3D en la que un avatar que se parece al jefe o al jefe del jefe le pide a un ejecutivo de contabilidad que transfiera dinero: una versión del metaverso de las estafas BEC de hoy.

O imagine a los estafadores pirateando las cuentas de los usuarios para entrar en los mundos en desarrollo y desviar la propiedad intelectual.

Algunos de estos casos ya están sucediendo. Arkose Labs, una empresa de prevención de fraudes y seguridad de cuentas en línea, informó que en 2021b

Las empresas del metaverso enfrentaron un 80% más de ataques de bots
Y un 40% más de ataques humanos
Comparados con otras empresas en línea

Creados para eludir las defensas tradicionales, estos ataques se centraron en el robo de identidad digital para llevar a cabo fraudes de:

Microtransacciones
Spam
Estafas
Y competencia desleal

Escenarios de riesgo en el metaverso

Si bien los expertos en seguridad apuntan a la autenticación y los controles de acceso para protegerse contra las estafas y los ataques basados en el metaverso, el número creciente de plataformas que brindan acceso al mismo pueden tener o no mecanismos seguros para reconocer los fraudes, dice Paul Carlisle Kletchka, analista de gobierno, riesgo y de cumplimiento (GRC) en Lynx Technology Partners, un proveedor de servicios de GRC.

“Una de las principales vulnerabilidades es la falta de protocolos o mecanismos de seguridad estandarizados en todas las plataformas”, precisa.

Como resultado, los ciberdelincuentes pueden usar el metaverso para una variedad de propósitos como:

Robo de identidad
Así como fraude
O ataques maliciosos a otros usuarios
Debido a que las personas pueden descargar programas y archivos desde dentro del metaverso

“También existe el riesgo de que estos archivos puedan contener malware que podría infectar la computadora o el dispositivo de un usuario y propagarse nuevamente a los sistemas de la organización”, continuó Carlisle.

Para este especialista, otra amenaza es la piratería:

“Dado que el metaverso aún se encuentra en sus primeras etapas de desarrollo, no existen leyes o reglamentos escritos específicamente para el metaverso para proteger la propiedad intelectual dentro de este entorno digital”, explicó.

Muchos más datos para recolectar y proteger

Esta es la razón por la cual los CISOs y las empresas a las que respaldan deben enfrentar estos nuevos riesgos para sus negocios y datos de usuarios, dice Michael Bruemmer, jefe de la unidad de Resolución de violaciones de datos globales en Experian.

Él predice que el crecimiento de los metaversos abrirá nuevos espacios para los ataques. También cita la falta de estándares y regulaciones, comparando los metaversos con el “Salvaje Oeste”.

Como mínimo, señala la débil autenticación utilizada en las plataformas públicas de metaverso, lo cual persigue alentar a los nuevos usuarios a registrarse.

Bruemmer, autor del décimo Pronóstico anual de la industria de violación de datos para 2023 de Experian, también cita la falta de mecanismos de aplicación para los infractores de la privacidad, lo que va de la mano con la falta de regulación.

“Mire los auriculares Oculus de Meta o la inversión de Microsoft en servicios de chatbot. Considere qué datos recopilan, ya sea el nombre de usuario, la contraseña, la tarjeta de crédito, la identificación del dispositivo, la frecuencia del pulso, los movimientos, con qué interactúa en un entorno urbano, el historial de geolocalización: todo es una incógnita en términos de qué regulaciones se aplican”, afirmó .

Ultrafalsos en el metaverso

Por su parte, el especialista en realidad virtual Louis Rosenberg explica en el podcast “Into the Metaverse” cómo estos y otros datos ricos podrían explotarse fácilmente para influir en los compradores y aumentar la polarización como la que estamos viendo actualmente en las plataformas de redes sociales.

Un chatbot de marketing habilitado para IA que se hace pasar por otra persona en un mundo virtual podría estar diciéndole a un consumidor potencial sobre un auto nuevo y genial que compró.

Rosenberg explicó en su podcast que esta forma de engaño depredador puede ir mucho más lejos que en las plataformas sociales actuales mediante el uso de algoritmos inteligentes para controlar:

El estilo de habla
Las expresiones faciales
El pulso
La presión arterial
Y la frecuencia cardíaca del objetivo para que pueda aplicar la “persuasión final”

Yon Raz-Fridman, presentador de Into the Metaverse y CEO fundador de Supersocial – un constructor de mundos virtuales – asegura por su parte que su empresa desarrolla soluciones comerciales en la plataforma de juegos Roblox debido a la larga historia y experiencia de Roblox en la construcción de privacidad y seguridad.

Afirma que su empresa ayuda a sus clientes a crear sus mundos virtuales para fomentar las comunidades y la conciencia sobre su marca y productos.

Por ejemplo, los ingenieros y diseñadores de Supersocial crearon Nars Color Quest para la marca de cosméticos Nars, que se convirtió en la experiencia de belleza número uno en la plataforma Roblox.

“La gran ventaja de construir sobre la plataforma Roblox es que es relativamente segura y estable. Cuando los clientes preguntan sobre privacidad y seguridad, les brindamos las mejores prácticas de la plataforma para que comprendan completamente algunos de los riesgos potenciales y cómo la plataforma los mitiga. No somos dueños de la plataforma, por lo que nos apoyamos en la seguridad y las políticas descritas y administradas por Roblox”, explicó Raz-Fridman.

Las regulaciones 3D serán diferentes a las 2D

Si bien son gráficas e inmersivas, la mayoría de las experiencias de metaverso actuales siguen siendo bidimensionales.

Pero Bruemmer de Experian predice que 2023 se convertirá en el año de la realidad artificial (AR) y la realidad virtual (VR) habilitadas para auriculares, a las que no se aplicarán las regulaciones actuales.

Pero la abogada de privacidad Liz Harding dice que las leyes más nuevas, como GDPR, pueden proporcionar al menos algunas pautas, particularmente en los mundos globales.

Harding, quien es vicepresidente de privacidad de datos y transacciones de tecnología en el bufete de abogados Polsinelli y está calificado tanto en el Reino Unido como en los EE. UU., dice que:

“Con las tecnologías de metaverso hay grandes preguntas sobre la jurisdicción. Digamos que estoy en los EE. UU. Tengo un colega en Alemania, nos reunimos en el metaverso y se recopilan datos o se graba la reunión. Será difícil argumentar que las leyes desde donde se aloja la plataforma son las únicas leyes que se aplican, especialmente si, a sabiendas, trae a personas de diferentes jurisdicciones a esas interacciones”, argumentó.

Harding apunta que el seguimiento de dónde se encuentran físicamente esas personas y la recopilación de sus datos de ubicación precisos para tratar de cumplir con las leyes internacionales podría desencadenar una violación si no se toman las medidas de cumplimiento adecuadas (como obtener el consentimiento apropiado).

Luego está la cuestión de qué tipo de comunidad presenta qué tipo de datos. La recopilación de datos:

Médicos
De recursos humanos
Y otros datos confidenciales

… generará obligaciones de cumplimiento de privacidad adicionales.

Centrarse en las mejores prácticas actuales

Listo o no, Gartner predice que los metaversos tendrán un profundo impacto en las experiencias de los empleados para 2030, cubriendo todo:

Desde transacciones de empleado a consumidor
Aprendizaje
Adquisiciones
Incorporación de empleados
Actividades de colaboración
Y espacios de oficina virtual, por nombrar algunos.

Unos cuantos de estos serán “miniversos” especialmente diseñados, mientras que otros involucrarán plataformas compartidas a gran escala.

Actualmente, los proveedores de plataformas están inyectando miles de millones de dólares en plataformas y auriculares para dominar este nuevo mercado.

En esta categoría están incluidos:

Meta
Microsoft
Apple
Sony
Amazon AWS
Google
NVIDIA Omniverse
Y Epic Games

Para proteger a los usuarios y los datos en esta frontera virtual emergente, el director técnico de Globant, Pablo Lecea sugiere centrarse en las mejores prácticas que ya se utilizan en la actualidad.

Globant ha estado ayudando a las empresas a crear experiencias de metaverso durante 15 años utilizando:

El modelado de amenazas
El desarrollo seguro
El cifrado
La autenticación
La verificación
La recopilación segura de datos
Y las políticas de almacenamiento que se alinean con las leyes actuales

Entre sus muchos servicios de ingeniería, también brinda servicios de ciberseguridad para sus clientes.

Para los recursos de CISO, Lecea apunta al Future of Privacy Forum, el cual aboga por políticas y controles más sólidos para proteger:

La información sensorial
De audio
Y biométrica derivada de los dispositivos de realidad virtual

“Según el Future of Privacy Forum, una sesión de realidad virtual de veinte minutos podría recopilar más de dos millones de puntos de datos únicos por usuario, mientras que una sesión tradicional de redes sociales recopila cincuenta y cinco mil puntos de datos por usuario”, señala. “Estos datos deben estar protegidos, por lo que es fundamental contar con un marco de seguridad para desarrollar estas aplicaciones”.