La nueva generación de amenazas que trae el metaverso
Es posible que los protocolos de seguridad y las leyes de privacidad actuales no se apliquen a los mundos 3D.
El metaverso está llegando; las empresas y las agencias gubernamentales ya están construyendo mundos virtuales para respaldar los servicios, las reuniones y conferencias, la construcción de comunidades y el comercio. También están ofreciendo aplicaciones espaciales relacionadas con viajes, ventas de automóviles, fabricación y arquitectura en lo que Citi predice que será un mercado de 13 billones de dólares con 5.000 millones de usuarios para 2030.
Pero esto hará que surjan nuevos problemas de privacidad y seguridad. Se esperan riesgos similares a los que hemos visto en las redes sociales, como phishing, suplantación de identidad, desinformación y ransomware. También habrá nuevos impactos en la privacidad del consumidor porque la cantidad de datos ricos y detallados recopilados por estas aplicaciones son objetivos jugosos para los delincuentes y los comerciantes. “Las tecnologías del metaverso requerirán recopilar una gran cantidad de datos de los que ya se recopilan en las redes sociales, como por ejemplo, cómo gira la cabeza y dónde se enfocan los ojos solo para colocar las pantallas correctamente”, dice Cathy Barerra, fundadora de Prysm Group.
Nuevas fronteras del engaño
Los delitos basados ??en la ingeniería social ya proliferan en la Internet 2.0 actual. Los operadores de ransomware usan un buen gancho para que las personas hagan clic en los enlaces de los correos electrónicos y Google y otros motores de búsqueda publican anuncios maliciosos, en las redes sociales e incluso a través de videoconferencias y plataformas de chat.
Ahora considere la Internet inmersiva en 3D en la que un avatar que se parece al jefe o al jefe del jefe le pide a un ejecutivo de contabilidad que transfiera dinero (una versión del metaverso de las estafas BEC de hoy). O imagine a los estafadores pirateando las cuentas de los usuarios para entrar en los mundos en desarrollo y desviar la propiedad intelectual.
Algunos de estos ya están sucediendo. Arkose Labs, una empresa de prevención de fraudes y seguridad de cuentas en línea, informó que en 2021, las empresas de metaverso enfrentaron un 80 % más de ataques de bots y un 40 % más de ataques humanos que otras empresas en línea. Creados para eludir las defensas tradicionales, estos ataques se centraron en el robo de identidad digital para llevar a cabo fraudes de microtransacciones, spam, estafas y competencia desleal.
Si bien los expertos en seguridad apuntan a la autenticación y los controles de acceso para protegerse contra las estafas y los ataques basados ??en el metaverso, el número creciente de plataformas que brindan acceso al metaverso puede tener o no mecanismos seguros para reconocer los fraudes, dice Paul Carlisle Kletchka, de gobierno, riesgo y analista de cumplimiento (GRC) con Lynx Technology Partners, un proveedor de servicios de GRC.
“Una de las principales vulnerabilidades es la falta de protocolos o mecanismos de seguridad estandarizados en todas las plataformas”, dice. “Como resultado, los ciberdelincuentes pueden usar el metaverso para una variedad de propósitos, como robo de identidad, fraude o ataques maliciosos a otros usuarios. Dado que las personas pueden descargar programas y archivos desde dentro del metaverso, también existe el riesgo de que estos archivos puedan contener malware que podría infectar la computadora o el dispositivo de un usuario y propagarse nuevamente a los sistemas de la organización. Otra amenaza es la piratería: dado que el metaverso aún se encuentra en sus primeras etapas de desarrollo, no existen leyes o reglamentos escritos específicamente para el metaverso para proteger la propiedad intelectual dentro de este entorno digital”.
Muchos más datos para recolectar y proteger
Esta es la razón por la que los CISO y las empresas a las que respaldan deben enfrentarse a estos nuevos riesgos para sus negocios y los datos de los usuarios, dice Michael Bruemmer, jefe de la unidad de Resolución de violaciones de datos globales de Experian. Él predice que el crecimiento de los metaversos abrirá nuevos espacios para los ataques. También cita la falta de estándares y regulaciones, comparando los metaversos con el "Salvaje Oeste". Como mínimo, señala la débil autenticación utilizada en las plataformas públicas de metaverso para alentar a los nuevos usuarios a registrarse.
Bruemmer, autor del décimo Pronóstico anual de la industria de violación de datos para 2023 de Experian , también cita la falta de mecanismos de aplicación para los infractores de la privacidad, lo que va de la mano con la falta de regulación. “Mira los auriculares Oculus de Meta o la inversión de Microsoft en servicios de chatbot. Considere qué datos recopilan, ya sea el nombre de usuario, la contraseña, la tarjeta de crédito, la identificación del dispositivo, la frecuencia del pulso, los movimientos, con qué interactúa en un entorno urbano, el historial de geolocalización: todo es una incógnita en términos de qué regulaciones se aplican".
El especialista en realidad virtual Louis Rosenberg explica en un podcast de Into the Metaverse cómo estos y otros datos ricos podrían explotarse fácilmente para influir en los compradores y aumentar la polarización como la que estamos viendo actualmente en las plataformas de redes sociales. Un chatbot de marketing habilitado para IA que se hace pasar por otra persona en un mundo virtual podría estar diciéndole a un consumidor potencial sobre un auto nuevo y genial que compró. Esta forma de engaño depredador puede ir mucho más lejos que en las plataformas sociales actuales mediante el uso de algoritmos inteligentes para controlar el estilo de habla, las expresiones faciales, el pulso, la presión arterial y la frecuencia cardíaca del objetivo para que pueda aplicar la "persuasión final", dijo en el pódcast.
Yon Raz-Fridman, presentador de Into the Metaverse y CEO fundador de Supersocial, un constructor de mundos virtuales, dice que su empresa desarrolla soluciones comerciales en la plataforma de juegos Roblox debido a la larga historia y experiencia de Roblox en la construcción de privacidad y seguridad en su plataforma. Él dice que su empresa ayuda a sus clientes a crear sus mundos virtuales para fomentar las comunidades y la conciencia sobre su marca y productos. Por ejemplo, los ingenieros y diseñadores de Supersocial crearon Nars Color Quest para la marca de cosméticos Nars, que se convirtió en la experiencia de belleza número uno en la plataforma Roblox.
“La gran ventaja de construir sobre la plataforma Roblox es que es relativamente segura y estable. Cuando los clientes preguntan sobre privacidad y seguridad, les brindamos las mejores prácticas de la plataforma para que comprendan completamente algunos de los riesgos potenciales y cómo la plataforma los mitiga. No somos dueños de la plataforma, por lo que nos apoyamos en la seguridad y las políticas descritas y administradas por Roblox ”, dice Raz-Fridman.
Las regulaciones 3D serán diferentes a las 2D
Si bien son gráficas e inmersivas, la mayoría de las experiencias de metaverso actuales siguen siendo bidimensionales. Pero Bruemmer de Experian predice que 2023 se convertirá en el año de la realidad artificial (AR) y la realidad virtual (VR) habilitadas para auriculares, a las que no se aplicarán las regulaciones actuales. Pero la abogada de privacidad Liz Harding dice que las leyes más nuevas, como GDPR, pueden proporcionar al menos algunas pautas, particularmente en los mundos globales.
Harding, quien es vicepresidente de privacidad de datos y transacciones de tecnología en el bufete de abogados Polsinelli y está calificado tanto en el Reino Unido como en los EE. UU., dice que “con las tecnologías de metaverso, hay grandes preguntas sobre la jurisdicción. Digamos que estoy en los EE. UU. y tengo un colega en Alemania y nos reunimos en el metaverso y se recopilan datos o se graba la reunión. Será difícil argumentar que las leyes desde donde se aloja la plataforma son las únicas leyes que se aplican, especialmente si, a sabiendas, trae a personas de diferentes jurisdicciones a esas interacciones”.
Rastrear dónde se encuentran físicamente esas personas y recopilar sus datos de ubicación precisos para tratar de cumplir con las leyes internacionales podría desencadenar una violación si no se toman las medidas de cumplimiento adecuadas (como obtener el consentimiento apropiado), dice Harding. Luego está la cuestión de qué tipo de comunidad presenta qué tipo de datos. La recopilación de datos médicos, de recursos humanos y otros datos confidenciales generará obligaciones de cumplimiento de privacidad adicionales.
Centrarse en las mejores prácticas actuales
Listo o no, Gartner predice que los metaversos tendrán un profundo impacto en las experiencias de los empleados para 2030, cubriendo todo, desde transacciones de empleado a consumidor, aprendizaje, adquisiciones, incorporación de empleados, actividades de colaboración y espacios de oficina virtual, por nombrar algunos. Algunos de estos serán "miniversos" especialmente diseñados, mientras que otros involucrarán plataformas compartidas a gran escala. Los proveedores de plataformas, incluidos Meta, Microsoft, Apple, Sony, Amazon AWS, Google, NVIDIA Omniverse y Epic Games, actualmente están inyectando miles de millones de dólares en plataformas y auriculares para dominar este nuevo mercado.
Para proteger a los usuarios y los datos en esta frontera virtual emergente, el director técnico de Globant, Pablo Lecea, sugiere centrarse en las mejores prácticas que ya se utilizan en la actualidad. Globant ha estado ayudando a las empresas a crear experiencias de metaverso durante 15 años, utilizando el modelado de amenazas, el desarrollo seguro, el cifrado, la autenticación, la verificación, la recopilación segura de datos y las políticas de almacenamiento que se alinean con las leyes actuales. Entre sus múltiples servicios de ingeniería, también brinda servicios de ciberseguridad para sus clientes.
Para los recursos de CISO, Lecea apunta al Future of Privacy Forum, que aboga por políticas y controles más sólidos para proteger la información sensorial, de audio y biométrica derivada de los dispositivos de realidad virtual. “Según el Future of Privacy Forum, una sesión de realidad virtual de veinte minutos podría recopilar más de dos millones de puntos de datos únicos por usuario, mientras que una sesión tradicional de redes sociales recopila cincuenta y cinco mil puntos de datos por usuario”, señala. "Estos datos deben estar protegidos, por lo que es fundamental contar con un marco de seguridad para desarrollar estas aplicaciones".
