Retos de Ciberseguridad en la Realidad Virtual y Aumentada

Conoce aspectos de seguridad para tener en cuenta sobre estas tecnologías que han marcado un alto crecimiento en los últimos tiempos

Aunque hoy podemos saborear los beneficios de los sistemas de realidad virtual y sus tecnologías asociadas, su uso también plantea problemas de seguridad. Los dispositivos y espacios para utilizarlos crecieron en el último tiempo y los ciberatacantes están al acecho.

La realidad virtual está directamente relacionada con otras tecnologías similares que muchas veces suelen confundirse: no es lo mismo hablar de Realidad Virtual, Realidad Aumentada, Realidad Mixta, o Realidad Extendida. 

  • Realidad aumentada: Superpone elementos generados por computadora sobre un objeto real. Se utiliza, por ejemplo, en juegos como el Pokemon Go, pero también para capacitar a un técnico para solucionar problemas de una máquina: observa una versión aumentada de la máquina real a través de las imágenes de realidad aumentada, o video, que lo guían a través de las reparaciones paso a paso.
  • Realidad virtual: Un mundo tridimensional generado por computadora que usa señales de video y audio. Permite interactuar con un entorno virtual de manera inmersiva a partir del uso de dispositivos como gafas o HMDs (Head Mounted Display), en lugar de solo mirar contenido en una pantalla.
  • Realidad mixta: Es un modelo híbrido donde el mundo físico y el digital aparecen como un entorno 3D integrado. Cuando esta tecnología madure, se espera que el usuario interactúe digitalmente con el mundo físico.
  • Realidad extendida: Es un concepto en constante cambio, que implica tecnologías que crean entornos y objetos generados de manera digital e involucra la realidad virtual, la aumentada y la mixta. Tiene la capacidad de añadir información de manera virtual con el control y conocimiento de un entorno real.

¿En qué se usa la realidad virtual?

La realidad virtual y aumentada ya se aplica en varios campos. Se emplean, por ejemplo, en la simulación de prácticas de profesionales de la salud, la enseñanza y el aprendizaje a distancia, en terapias y atención médica, en el arte, los viajes virtuales. La utilizan, incluso, ejércitos para mejorar las misiones de entrenamiento de los soldados y ciertas fuerzas policiales para identificar a posibles criminales.

El crecimiento que se espera en el mercado mundial de chips de realidad aumentada y virtual se estima de entre los 7760 millones de dólares para 2026 en todo el mundo, según Allied Market Research. Una de las principales impulsoras en estas tecnologías serán las conexiones 5G, que permiten una mayor variedad de nuevas aplicaciones al lograr velocidades de carga y descarga más rápidas.

El metaverso, por otro lado, promete la interacción a través de realidad virtual y aumentada con el desarrollo de estándares abiertos, y uno de sus objetivos, anunciados por el Metaverse Standars Forum, en 2022, es fomentar la colaboración en la computación espacial en gráficos 3D interactivos, sistemas geoespaciales, simulación física y creación de contenido fotorrealista.

Otro dato que muestra la evolución que se puede esperar en estas tecnologías es que las empresas de sistemas y fabricantes de chips están cada vez más involucradas con la realidad virtual. Se pueden destacar Apple, AMD Broadcom, HP, Huawei, Meta (Facebook), Microsoft, NVIDIA, Imagination Technologies, Intel, MEDIATEK, Qualcomm y Samsung, entre otras.

Amenazas en la privacidad y protección de datos

Proteger la privacidad y asegurarnos de que nuestros datos personales no sean compartidos de manera no autorizada, es fundamental.

Los sistemas de realidad virtual y aumentada pueden recopilar mucha más información personal que los sistemas tradicionales. Por ejemplo, los auriculares VR con micrófonos en vivo, pueden grabar todas las conversaciones; los sistemas de seguimiento sobre HMD con cámaras, obtener videos de espacios privados e, incluso, registrar qué está mirando el usuario.

Estos datos, sumados a la información biométrica que recopilan estos dispositivos, se convierten en un tesoro para los cibercriminales.

Información personal identificable

En estos entornos es casi imposible anonimizar los datos de rastreo debido a que los individuos tienen patrones de movimiento únicos que, junto a la información conductual y biológica recopilada en cascos de realidad virtual, hacen identificable al usuario con un alto grado de precisión.

Un problema clave de privacidad en estas tecnologías es la naturaleza altamente personal de los datos recopilados: datos biométricos como escaneos de iris o retina, huellas digitales y de manos, la geometría del rostro y las impresiones vocales. Toda esta información es mucho más sensible que la que recopilan los sistemas masivos actuales como las redes sociales, y otras formas de tecnología, que ya son utilizadas, por ejemplo, en ataques de suplantación de identidad.

Con el poder de recopilación de datos de las tecnologías de realidad virtual y aumentada, serán mucho más sofisticados y complejos de detectar, y puede ser una herramienta eficaz para engañar a los usuarios como parte de ataques de ingeniería social. Los atacantes podrían, por ejemplo, distorsionar la percepción de la realidad de los usuarios mediante señales o pantallas falsas, y usar tecnologías de aprendizaje automático para guiarlos al engaño.

Incierto manejo de la protección de datos por las empresas

Hay poca claridad respecto a cómo las empresas relacionadas en la industria de realidad virtual y aumentada protegen la información que han recopilado de los usuarios. Dónde almacenan información, si se guarda cifrada, si es compartida con terceros o no, y cómo funcionan las políticas de protección de propiedad intelectual y creación de contenidos, son todos interrogantes abiertos que iremos descubriendo a medida que estas tecnologías avancen sobre los usuarios finales.

Medidas de protección:

Ante este contexto es importante ser prudentes y estar atentos, el hecho de evitar revelar información muy personal es un buen principio para navegar con cautela, sobre todo si no es necesario aportar dicha información; no es lo mismo dar datos de nuestra cuenta de correo que los de nuestra wallet o tarjeta de crédito.

Revisar las políticas de privacidad antes de utilizar las plataformas y sus sistemas asociados puede evitarnos varios dolores de cabeza, siendo esencial que sepamos de qué manera las compañías almacenan nuestros datos y qué hacen con ellos.

En estos entornos, es importante considerar la protección de seguridad del protocolo y las capas lógicas relacionadas —proteger los datos en todo su contexto, incluso mientras se transmiten—. Los datos enviados, por ejemplo, hacia y desde un casco de realidad virtual deben cifrarse y autenticarse para proteger la confidencialidad y garantizar su autenticidad.

También es relevante la seguridad de los dispositivos a fin de minimizar los riesgos durante la navegación en este universo. Una buena práctica es implementar el arranque seguro que verifique que solo el firmware autorizado pueda ejecutarse en un dispositivo, para evitar que si uno es comprometido pueda infectar a otro.

Por otra parte, el firmware de los dispositivos debe mantenerse actualizados con parches y seguir las prácticas de seguridad que nos proveen los fabricantes: además de agregar nuevas funciones y mejorar las existentes, las actualizaciones siempre ayudan a corregir fallas de seguridad.

Amenazas en las redes de comunicación

Robo de credenciales

Los criminales pueden robar las credenciales de red de los dispositivos portátiles que se utilicen. Supongamos el caso de vendedores que usen tiendas de compra con realidad aumentada y realidad virtual: si no tienen las capas de seguridad necesarias, exponen a sus clientes y los datos grabados en sus perfiles de usuario, como los detalles de la tarjeta de crédito y de las soluciones de pago móvil. Los atacantes podrían obtener acceso a estos perfiles y agotar las cuentas de forma silenciosa.

Ataques de intermediario

Por otra parte, en caso de que las redes no estén adecuadamente gestionadas, estaríamos expuestos a ataques de intermediario. Los cibercriminales podrían escuchar las comunicaciones entre el navegador de realidad aumentada y el proveedor de esta tecnología, o propietarios del canal y los servidores de terceros, lo que daría lugar a que los atacantes accedan a información de gran sensibilidad.

Ataques de denegación de servicio

Otro ataque potencial a la seguridad en las comunicaciones es la denegación de servicio. Podríamos figurarnos un usuario que depende de la realidad aumentada para trabajar y de repente pierde acceso al flujo de información que estaba recibiendo. Esto podría ser muy preocupante si se trata de profesionales que utilizan la tecnología para realizar tareas en situaciones críticas: imaginemos a un cirujano que de repente pierde acceso a información vital en tiempo real en sus lentes de realidad virtual, o un conductor que repentinamente no puede ver el camino debido a que el parabrisas con realidad virtual se volvió una pantalla negra.

Medidas de protección:

Hoy contamos con pocos recursos dado que estas tecnologías aún siguen en expansión y quedan muchas cosas por definir y trabajar. La conectividad actual es por cable o wifi, pero se espera que las futuras versiones de Bluetooth tengan el ancho de banda para admitir estos dispositivos de realidad virtual y aumentada.

Será necesario, entonces, implementar comunicaciones seguras IPsec y TLS de gran ancho de banda. Para salvaguardar la realidad virtual que soporte 5G, será importante implementar seguridad de extremo a extremo, y tener en cuenta que los sistemas de realidad virtual y aumentada aún no han implementado el cifrado para las conexiones de red, como sí sucede con otras aplicaciones.

Proteger la red de la realidad virtual de ataques cibernéticos y asegurar la integridad de los datos transmitidos, será fundamental, y es un hecho que los dispositivos se volverán más vulnerables a los ataques a medida que estos sean más móviles. Podemos utilizar un sistema VPN que nos ayude a proteger los datos y la identidad y privacidad en Internet previniendo que la información quede comprometida.

Amenazas en los sistemas de información

El malware como el ransomware siempre serán partícipes de los sistemas de información y los entornos de realidad virtual no serán la excepción. Los atacantes podrían integrar contenido malicioso de phishing en las aplicaciones, y engañar a los usuarios para llevarlos en modo, tal vez medio inconsciente, a sitios web que expongan su seguridad.

Además, si los cibercriminales obtienen acceso al dispositivo de un usuario y logran registrar sus conductas e interacciones, pueden usar esa información para amenazarlos con hacerlas públicas a menos que el usuario pague una recompensa.

Medidas de protección: 

Para estar los más protegidos posible, siempre debemos estar atentos y pensar antes de actuar, sabiendo que en este tipo de universo inmersivo es más difícil distraerse. También, utilizar alguna solución de seguridad como los software antivirus que nos ayuden a protegernos y evitar dolores de cabeza contra amenazas relacionadas con malware, phishing y otras.

Conclusiones

Los desafíos de seguridad que proponen estas tecnologías, tanto para las compañías de la industria como para los usuarios finales, están por verse de acuerdo a cómo evolucionen, pero también, tal como pudimos observar, ya conviven con nosotros y debemos actuar en consecuencia.

Realmente, será un tema de importancia por la sensibilidad de los datos que manejan estas tecnologías y será necesario que contemplemos todos los aspectos para hacer frente a los riesgos de hoy y a los que pueden presentarse en el futuro.

Estas tecnologías son cada vez son más transversales a diferentes áreas de conocimiento y hacen complejo que se puedan abarcar todos los puntos que se deben asegurar, como los dispositivos IOT, dispositivos de realidad virtual con su naturaleza asociada, sistemas de información, y otros.

Los cibercriminales siempre buscarán sus ventajas y jugarán en contra de las compañías que hacen esfuerzos para mantener los sistemas seguros. Es importante recordar que los usuarios siempre seremos la línea de defensa ante un ataque y, como mínimo, es importante estar informado y actuar en consecuencia.

Referencias: ESET

Chatea con nosotros