matrosovv - stock.adobe.com

El despliegue del metaverso conlleva nuevos riesgos y desafíos de seguridad

Cuando las empresas y los usuarios decidan adaptar las tecnologías del próximo metaverso, también se expondrán a una nueva clase de riesgos y vulnerabilidades de seguridad.

A medida que los mundos virtuales y las plataformas de realidad aumentada se conviertan en lo que sus creadores llaman el «metaverso», los usuarios y las empresas se enfrentarán a categorías totalmente nuevas de riesgos y trampas de seguridad.

El concepto de un entorno virtual en 3D en el que los usuarios pueden interactuar y socializar existe desde hace tiempo, pero el metaverso pasó a ser el centro de atención el pasado otoño cuando Facebook se rebautizó como Meta e hizo una gran apuesta por llevar la tecnología tanto a los consumidores como a las empresas; otras empresas tecnológicas han seguido su ejemplo. Pero los expertos predicen que, a medida que el metaverso se desarrolla, fallos de seguridad que ni siquiera han sido considerados por la mayoría se convertirán en riesgos comunes.

Kavya Pearlman, director general de la Iniciativa de Seguridad XR (XRSI), dijo a nuestro sitio hermano SearchSecurity que, al principio, muchos de los riesgos a los que se enfrentan los desarrolladores y las empresas serán los mismos con los que se enfrentan muchos sitios y aplicaciones web actuales.

«Todavía se pueden explotar los CVE existentes», señaló Pearlman. «Todo eso va a aparecer porque la mayoría de estas cosas se ejecutan en el mismo protocolo».

Esto, explicó Pearlman, significará que fallos como Log4Shell seguirán siendo una amenaza para las plataformas del metaverso. Los desarrolladores y administradores tendrán que tomar las mismas precauciones y contramedidas de seguridad.

Stephanie Benoit-Kurtz, profesora principal de la Facultad de Sistemas y Tecnología de la Información de la Universidad de Phoenix, dijo que la adición del hardware adicional necesario para las plataformas de RV y realidad aumentada en el metaverso también aumentará la exposición de las redes corporativas y la capacidad de un atacante para extraer datos de forma encubierta de las reuniones y presentaciones virtuales.

El CEO y consejero delegado de Meta, Mark Zuckerberg, muestra su avatar del metaverso durante el evento Connect 2021 de la empresa, el pasado otoño.

«Desde los cascos de realidad virtual, hasta otros tipos de dispositivos que aumentan las experiencias, la infraestructura necesaria para soportar este nuevo entorno es exponencialmente más amplia que la que existe hoy en día», dijo Benoit-Kurtz.

«El desafío con cada punto final es que los malos actores buscarán la manera de explotar esos puntos finales, ya sea para apoderarse de las identidades en la red o bloquear el acceso a través de ataques de denegación de servicio», señaló.

Las cosas podrían volverse físicas

Sin embargo, a medida que la tecnología avanza y se desarrolla, es probable que surjan diferentes problemas. En particular, los ataques podrían pasar del ámbito de los datos a los peligros físicos reales.

XRSI, de Pearlman, ha elaborado una investigación de prueba de concepto que muestra cómo un atacante podría manipular una plataforma de RV para reajustar los límites físicos del hardware. Por ejemplo, un usuario podría ser empujado hacia el camino de los muebles o hacia un tramo de escaleras.

Esto podría ser aún más peligroso cuando la realidad aumentada entre en escena, y los usuarios podrían ser mal dirigidos hacia una calle o conducidos a una situación física peligrosa, como un robo o un atraco.

Menos agradable aún es un hipotético ataque que podría, literalmente, dejar a sus víctimas con el estómago revuelto. «Sabemos que en la RV la gente podría experimentar mareos», indicó Pearlman. «Un creador podría incrustar intencionadamente algo que, al hacer clic, te mareara».

Otros ataques podrían ser aún más siniestros y dañinos, dijo Christopher Boyd, investigador principal de amenazas de Malwarebytes.

«Hace unos años, una de las principales vías de explotación en los espacios virtuales era la publicidad de pago. Con los planes para insertar redes de anuncios regulares con espacios publicitarios dinámicos en los juegos, es razonable esperar compromisos y anuncios falsos», dijo Boyd.

«Los individuos malintencionados podrían haber sustituido los anuncios regulares por imágenes estroboscópicas diseñadas para desencadenar ataques epilépticos, en la línea de ataques similares a las fundaciones de epilepsia en las redes sociales y foros en general», afirmó.

Juegos mentales

La posibilidad más distópica del metaverso es el impacto que podría tener en la salud mental de sus usuarios. De forma más inmediata, el problema del acoso será algo que los desarrolladores de entornos virtuales tendrán que abordar.

«La principal vía actual de explotación física en los espacios de RV es el acoso y el abuso sexual, a menudo favorecidos por una configuración de seguridad débil o ausente», explicó Boyd. «Esto ha sido un problema en los espacios virtuales durante mucho tiempo, y existen muchas opciones para combatirlo».

Otros posibles problemas de salud mental surgirán de la inmersión a largo plazo en los mundos virtuales.

Pearlman, que fue jefa de seguridad en Linden Lab, dijo que mientras trabajaba en la plataforma de RV Sansar, experimentaba una sensación llamada «síndrome de la línea de tiempo fantasma», en la cual las líneas entre el mundo virtual y el físico se volvían borrosas.

«No eres capaz de distinguir la realidad de la RV», relató Pearlman. «Sales de la RV y sigues sintiendo que todo lo que te rodea es RV».

Esto, dijo, será un peligro particular para los niños que crecen con el metaverso. Dado que las mentes jóvenes e impresionables pasan mucho tiempo en plataformas de RV y RA, a Pearlman le preocupa que los atacantes puedan utilizar la desinformación para manipular a los niños e imprimirles falsas creencias.

También existe el peligro del robo de datos personales. Dado que las plataformas del metaverso podrían recopilar imágenes y otros detalles personales de sus usuarios, los niños estarían potencialmente expuestos a más violaciones de la privacidad.

«El concepto de privacidad se vuelve mucho más preocupante cuando se habla de niños en este espacio», dijo Benoit-Kurtz. «Inevitablemente, los niños estarán en este espacio, y la Ley de Protección de la Privacidad de los Niños en Línea (COPPA) heredada no es suficiente para hacer frente al futuro de esta tecnología o a las salvaguardias adecuadas para hacer frente a la información personal exponencial que estos entornos recogerán».

Cómo prepararse

Tanto Pearlman como Benoit-Kurtz coincidieron en que, para proteger sus datos y la privacidad de sus empleados, las empresas necesitarán algo más que algunos cambios de política.

Las empresas tendrán que planificar con antelación cómo se asegurarán de que sus plataformas de RA y RV no sean objeto de abuso, ya sea externamente por parte de hackers o internamente por parte de directivos poco éticos que pretendan violar la privacidad de sus colegas y subordinados.

«La adopción de este tipo de tecnología por parte de una organización va mucho más allá de TI y RR.HH. Este paso hacia el metaverso transformará las organizaciones de forma significativa en los próximos cinco a diez años», aconsejó Benoit-Kurtz.

«En lugar de esperar a que la tecnología llame a la puerta, las organizaciones deberían adoptar un enfoque proactivo del tema empezando a abordar las conversaciones a nivel organizativo ahora».

Investigue más sobre Gestión de la seguridad