Blog de WatchGuard

Cómo los ciberatacantes podrían mapear tu casa y otras amenazas del Metaverso

El Metaverso se define como una red de mundos virtuales conectados que utilizan tecnologías de Realidad Virtual (VR) y/o Realidad Aumentada (AR) para ofrecer una experiencia más inmersiva para los usuarios. Aunque el concepto existe desde hace tres décadas (viene de la obra de ciencia ficción “Snow Crash”) y las plataformas como Second Life sentaron sus bases sobre ello, el Metaverso ha adquirido popularidad en los últimos meses gracias a las iniciativas como el Meta Quest 2, los dispositivos de Realidad Virtual (VR) promovidos por Meta, el actual nombre de la antigua compañía Facebook.  

Sus beneficios y oportunidades son enormes: más allá del puro entretenimiento, pueden utilizarse para mejorar la productividad laboral en entornos de trabajo en remoto o para tareas educativas (e-learning). Sin embargo, como cualquier herramienta conectada, también conlleva potenciales amenazas en el ámbito de la ciberseguridad. Estas amenazas del Metaverso son:  

  • Phishing: como término que va a adquirir popularidad, el Metaverso y otras cuestiones relacionadas con ello serán utilizados como cebo por los ciberatacantes para llevar a páginas con contenidos maliciosos. En este contexto, como siempre la formación en ciberseguridad juega un papel clave para no caer víctima de los engaños por ingeniería social, pero por si sola no es suficiente: de acuerdo con una encuesta Pulse realizada a expertos en ciberseguridad, el 35% considera que la mejor manera de proteger a las organizaciones del Phishing en el Metaverso es implementar soluciones de ciberseguridad para proteger a empleados y usuarios, si bien un 31% también señala que hay que educar a los empleados y un 18%, hacer lo propio con los usuarios.  
  • Registro de los movimientos del usuario: un desafío de ciberseguridad relativamente nuevo que conlleva el Metaverso es que sus dispositivos registran unos datos de los usuarios que la mayoría de dispositivos no hacía hasta ahora, como son sus movimientos corporales, de cabeza, manos e incluso de los propios ojos, recogidos por las gafas de VR. La combinación de estos movimientos representa un conjunto único para cada persona que puede hacer las veces de firma. Por eso, algunas compañías ya lo están investigando como parámetros biométricos que pueden servir en tecnologías de autenticación para sus espacios del Metaverso o incluso con fines comerciales, como hace Alexa registrando las conversaciones de los usuarios. Pero estos registros de parámetros corporales requieren, como ocurre con cualquiera de los datos personales de los usuarios, un especial tratamiento y protección.  
  • Registro del entorno físico del usuario: los sistemas de seguimiento AR/VR “inside-out” utilizan cámaras y sensores desde múltiples ángulos en los auriculares y técnicas similares a la fotogrametría para obtener una vista en 3D del espacio donde se encuentra el usuario. De esta manera, el software combina el entorno virtual con el espacio físico real del usuario. El problema es que, en la práctica, estos sensores generan mapas 3D de los alrededores, lo que puede incluir sus viviendas y sus oficinas. Teóricamente, esos mapas no deberían salir de los propios dispositivos pero lo más probable es que las compañías los acaben registrando de alguna manera. Esto conlleva escenarios que no solo abarcan riesgos de ciberseguridad, sino también la propia seguridad física de los usuarios: esos mapas podrían ser utilizados por ladrones u otros criminales si, por ejemplo, se ponen a la venta en la Dark Web.  
  • Suplantación de identidad: los usuarios pueden acceder a los espacios del Metaverso con su nombre real o un avatar, pero en ambos casos, los ciberatacantes podrían hacerse con sus credenciales de acceso y suplantarles. Esto puede ser especialmente peligroso en entornos del Metaverso que sean de negocio, ya que podrían obtener así información sensible o en aquellos donde se puedan realizar compras o transacciones financieras.  

Frente a estas amenazas, las plataformas del Metaverso tienen el deber de protección de estos de datos de los usuarios. Pero los usuarios y organizaciones que participen en los espacios no pueden confiar ciegamente en que sus datos no vayan a ser utilizados por terceros o que incluso no sean expuestos en una brecha. Por este motivo, han de tener especial cuidado con la información que compartan ahí. Además, también deben vigilar especialmente cómo acceden para evitar casos de suplantaciones. En este sentido, las organizaciones deberían tener un estricto control de acceso a sus espacios en las plataformas del Metaverso de acuerdo con unas políticas establecidas por la dirección, RRHH o IT y con unas credenciales que deberían estar vinculadas a una Autenticación Multifactor (MFA) avanzada y segura.