¿Qué riesgos de seguridad puede esconder el Metaverso?

Mucho se ha hablado del Metaverso y sus posibilidades, pero ¿será un entorno seguro?

He visto mucho contenido hablando del Metaverso y buena parte de esta información trata el tema como si fuera algo presente. Por supuesto, para mantenerse al día con una tendencia, es necesario comenzar a informarse lo antes posible, pero es interesante notar que el Metaverso es, por ahora, solo una idea —y un posible gran negocio. Teniendo esto en cuenta, planteo algunas hipótesis sobre los posibles riesgos de seguridad que pueden venir de la mano del Metaverso. Considerando que muchas de las amenazas informáticas presentes en la realidad actual siguen desafiando constantemente a empresas y usuarios y cobrándose nuevas víctimas, es difícil imaginar que no dirán presente en este mundo virtual. Además, la industria tecnológica tiene muchos ejemplos de cómo las presiones del negocio por salir lo antes posible al mercado suelen tener como consecuencia descuidos en la seguridad.

A pesar de que grandes compañías tecnológicas ya están desarrollando modelos, que se están realizando cálculos, y que hay equipos trabajando para que se convierta en realidad, ¡es principalmente una idea! Y una idea que ni siquiera es tan nueva, ya que hay algunas referencias que considero excelentes para retratar lo que podría llegar a ser el Metaverso, una de ellas es la película Ready Player One, de Steven Spilberg, que en mi opinión retrata muy bien los puntos buenos de este tipo de universo digital. Otras buenas referencias son un poco más antiguas. Para los amantes del anime, Sword Art Online retrata una posible evolución del Metaverso con una realidad aún más inmersiva. Y como referencia final, porque el mundo de los videojuegos no podía quedar afuera, el juego Second Life tenía el propósito de permitir que sus jugadores pudieran hacer lo que quisieran dentro del mundo del juego, que creo que es una versión preliminar de la inmersión que estamos a punto de tener.

Todos estos ejemplos citados pueden servirnos de inspiración para crear nuestras expectativas de esta nueva realidad. Sin embargo, como no todo son flores, me gustaría poner el foco en cómo estará presente la seguridad. Para ello planteo algunos puntos en los cuales quizás tengamos que preocuparnos cuando este universo digital sea una realidad. Es importante destacar que todo lo que explico a continuación en este artículo son hipótesis basadas en la realidad actual y en los antecedentes históricos vinculados a las amenazas informáticas y el surgimiento de nuevas tecnologías. El fin es educar y concientizar sobre lo que puede pasar durante el eventual uso de la realidad inmersiva como plantea Metaverso.

Dispositivos de acceso – Este definitivamente será el primer punto de atención, aún no sabemos qué dispositivos permitirán la entrada al metaverso. Si en un principio se accederá mediante computadoras tradicionales, si la entrada solo será posible con determinados gadgets como gafas, guantes o joysticks y, sobre todo, si serán necesarias configuraciones específicas para que esta conexión se produzca. También si será necesario que haya una conexión directa desde los hosts en Internet al dispositivo a través de reglas de firewall específicas o si habrá un servidor central donde los clientes se conectarán a él, independientemente del dispositivo utilizado.

¿Habrá más de un mundo virtual? – El Metaverso será el mundo creado por la empresa Meta, que también posee plataformas como Facebook, Instagram y WhatsApp, pero la pregunta es si este será el único mundo. Este puede ser un punto de atención en caso de que existan más mundos, lo cual creo que es probable, y también creo que será posible moverse entre estos mundos. ¿Qué tipo de información se necesitará proporcionar para la salida de un mundo y la entrada a otro? ¿Lo hará activamente el usuario o las plataformas comerciarán entre sí? ¿La seguridad de la información almacenada será la misma para todos los mundos o es posible que uno de ellos sea más “vulnerable”?

Suplantación de identidad – En las plataformas donde es posible personalizar tu avatar se suelen utilizar imágenes que no tienen nada que ver con las características físicas de quien los utiliza. Esta posibilidad de cambiar de apariencia también es utilizada por personas con malas intenciones para obtener información o incluso dinero de otras personas que forman parte de este mundo. Y esto seguramente también estará presente en el Metaverso con delincuentes intentando explotar la ingeniería social, ya que, según el video de presentación del proyecto, permitirá varias personalizaciones. Quizás se pregunte: “Está bien, las apariencias pueden cambiar, pero ¿qué pasa con la voz de una persona? ¿No seguiré escuchando la verdadera voz del supuesto criminal?”. Y la respuesta es “No necesariamente”, los software conocidos como voicechangers ya son muy populares y los desarrolladores que crean software con inteligencia artificial ya han logrado clonar la voz de una persona con audios muy cortos, de unos 5 segundos de duración, y la voz simulada es extremadamente fiel a la voz original. Esto nos da indicios de que no será difícil que alguien se haga pasar por otro para hacer más víctimas en este mundo.

Intercambios de información y ¿malware? – Es posible que diferentes tipos de interacciones sean posibles dentro de un entorno inmersivo, por lo que además de la interacción de caminar y hablar con otras personas, es posible enviar y recibir archivos de diferentes tipos, como imágenes, videos o documentos; incluso puede ser posible la transferencia directa de recursos entre personas, y estos son puntos que pueden traer una serie de dolores de cabeza a los usuarios si no son gestionadas correctamente. Si las interacciones entre personas son totalmente gratuitas y cada uno puede enviar lo que quiera, ¿cómo se validará si el archivo tiene contenido malicioso? ¿Cómo le permitirá la plataforma interactuar con estos eventuales archivos? ¿Serán abiertos por la propia interfaz o deberán descargarse y manejarse por separado? Actualmente, los archivos maliciosos representan una parte importante de la escena de las amenazas digitales y, sin duda, deberán tenerse en cuenta en Metaverso, ya que, dependiendo de cómo ocurran estas interacciones, las partes pueden tener acceso a la información de los demás.

Tiendas, compras y métodos de pago – Independientemente de qué tipo de moneda circule dentro de la plataforma, una cosa es (casi) segura, existirá la posibilidad de adquirir cosas dentro de este mundo y esto dará lugar a los fraudes y estafas. Objetos que puede recibir en el mundo real o tal vez artículos personalizables, NFT y cualquier otro tipo de posibilidades comerciales que tenemos hoy en día, y estas transacciones deben estar muy protegidas. Considero básico saber dónde quedará la información de pago, si será almacenada en el dispositivo que se conectará a Metaverso o en la nube —¿o en otro lugar? También si será necesario hacer validaciones para cada compra o si este proceso se automatiza al usar la función una vez. Otro punto que me hace pensar es lo que comenté anteriormente, en caso de que sea posible comprar directamente a una persona, ¿qué información de pago recibirá esta persona? Incluso si la calidad de los métodos de pago actuales se importa a este mundo, tendremos muchos puntos de atención de los que preocuparnos.

La gestión de Información personal y el tipo de datos – Este es un punto que no será posible medir adecuadamente hasta que sepamos cómo funcionará todo este entorno, y lo digo porque creo que la información personal se llevará al siguiente nivel. Hoy ya contamos con datos de registro como nombre, teléfono, documento de identidad, dirección y varios otros que permiten nuestra identificación, así como contraseñas e información sobre gustos personales que conforman el grupo de datos más sensibles, pero aún puede haber más.

Supongamos que para la inmersión en el Metaverso se necesitan lentes de realidad virtual. Estos lentes tendrán incluso más sensores que un celular y probablemente serán capaces de leer la altura del usuario, tal vez hasta su peso, frecuencia cardiaca, brindar un reconocimiento facial con un nivel de precisión avanzada, y si tiene cámaras podrá monitorear el entorno y evitar posibles colisiones con objetos en el mundo físico. Todo esto es espectacular y nos traerá seguridad; pero ¿qué pasa si esa información cae en manos indebidas? La cámara podrá brindar un plano 3D a los delincuentes, podrán saber tu altura, en qué habitación usas el dispositivo, si hay más personas en la casa contigo, tu ubicación geográfica precisa, posibilidades de crear deepfakes con los datos recopilados del reconocimiento facial, entre otras. Las hipótesis son numerosas cuando se trata de pensar en el alcance que puede tener nuestra información si cae en las manos equivocadas, por lo que tendremos que prestar atención a eso también.

Hay mucho potencial en todo lo que abarca el Metaverso y cualquier otro universo que pueda surgir, pero históricamente hablando, las innovaciones no siempre son desarrolladas teniendo en cuenta la seguridad y las tecnologías suelen salir al mercado lo antes posible porque las prioridades son otras. Esperamos que en este caso el Metaverso se piense y desarrolle teniendo MUY en cuenta la seguridad del entorno en su conjunto, tanto a los usuarios, la información, transacciones y su estructura en general.

Espero que este artículo haya despertado en ti las preguntas que me hice al pensar en la seguridad de este mundo, y que puedas cuestionar aún más sobre varios otros puntos no tratados aquí que podrían ser puntos de mejora.

Aún sin tener información clara de cómo será este universo digital, es posible tener en cuenta que los delincuentes también formarán parte de él y, como siempre, será responsabilidad de todos nosotros velar por la seguridad de nuestros bienes y datos y estar atento a posibles estafas que puedan llegar a surgir en ese entorno.

Referencias: ESET 2022

Autor: Daniel Cunha Barbosa