Como cualquier nueva innovación, el metaverso se encuentra actualmente en el centro del debate «riesgo frente a recompensa». Como era de esperar, el mundo virtual en 3D ha recibido mucha atención, y McKinsey ha confirmado que en los primeros cinco meses de 2022 se invirtieron más de 120.000 millones de dólares en desarrollar tecnología e infraestructura para el metaverso.

Las promesas de su uso extraordinario, desde impartir clases universitarias virtuales hasta realizar operaciones quirúrgicas a pacientes en otros países, por no hablar de los posibles beneficios en ahorro de costes y accesibilidad, han despertado la curiosidad. Pero, aunque podría pasar algún tiempo hasta que veamos una adopción masiva del metaverso, los especialistas en seguridad ya se muestran preocupados ante los riesgos.

Los adversarios, tan oportunistas como siempre, aprovecharán la creciente superficie de ataque que el metaverso abre a través de las redes sociales, los servicios de streaming y los juegos en línea, y capitalizarán los errores cometidos en su desarrollo. Los incidentes de ataques deepfake en la versión actual de nuestro mundo digital ya están aumentando gracias a los avances en inteligencia artificial para alterar digitalmente y simular la voz o la apariencia de una persona con mala intención.

El 66% de los encuestados en nuestro Informe Global sobre Respuestas a Incidentes de Amenazas observó cómo se utilizaban deepfakes maliciosos como parte de un ataque durante el pasado año (un 13% más), y la mayoría (58%) confirmó ataques deepfake con mayor frecuencia en forma de vídeo. Pero lo más preocupante es el hecho de que cada vez se ataca más a nuevas plataformas, incluidas las aplicaciones de reuniones de terceros (31%) y las herramientas de colaboración empresarial (27%). ¿Habrá un repunte de estafas similares dentro del metaverso de la realidad virtual?

Suponiendo que el metaverso despegue a lo grande, las organizaciones deberán analizar cuál es el mejor enfoque para adoptar esta tecnología naciente. Explorar cómo se pueden aprovechar las herramientas y las técnicas de autenticación será esencial para aquellos que buscan salvaguardar y guiar el mundo virtual.

Problemas emergentes de ciberseguridad

Cada vez es más evidente que los tipos de ciberdelincuencia existentes podrían extenderse al metaverso. De lo que no se dan cuenta muchos de los usuarios es de que la nueva tecnología del metaverso se está construyendo sobre tecnología antigua, como los servidores Linux, en la que la seguridad no está intrínsecamente incorporada y las vulnerabilidades están muy arraigadas.

El Laboratorio de Innovación de Europol ha advertido de que los ciberataques, como el uso indebido de la identidad robada para cometer fraude e incluso abusar de otros usuarios (o avatares), podrían reproducirse en el metaverso.

En el contexto de la autenticación en realidad virtual, podrían utilizarse sofisticados sistemas de seguimiento ocular, facial y háptico del movimiento para registrar las interacciones de un usuario con el dispositivo: ¿cómo podremos saber si el amigo o colega con el que estamos interactuando es realmente quien dice ser? Con el tiempo, la plataforma podría convertirse en un imán para el ransomware y el blanqueo de dinero, con criptomonedas en uso activo y más monedas específicas de la plataforma que se espera que se materialicen.

Seguir confiando en las contraseñas como principal forma de autenticación en el mundo virtual sería una receta para que se produjeran estas brechas. Las organizaciones que participen en su creación o uso tendrán que ser muy cuidadosas con los controles establecidos para identificar a los usuarios y desplegar una autenticación hermética.

Preparados para el metaverso

La autenticación única simplemente no funcionaría en el metaverso; hay que verlo como un espacio vivo, no como un servicio de un solo uso. En su lugar, un sistema de autenticación continua que aproveche diferentes factores, como la biometría, y que controle de cerca el comportamiento del usuario será fundamental para no preocuparse tanto por la seguridad al tiempo que proporciona una experiencia fluida en el metaverso. Los mismos principios de seguridad de confianza cero a los que nos hemos acostumbrado en el «mundo real», es decir, la creencia de que la confianza implícita es siempre una vulnerabilidad y que siempre debemos verificar los dispositivos y los usuarios, deben reproducirse en el metaverso.

De hecho, se trata de un delicado acto de equilibrio, puesto que la autenticación continua puede ser considerada invasiva por algunos, al recopilar constantemente datos de los usuarios para comprobar que son quienes dicen ser. Pero con las toneladas de datos que se recopilarán para producir una experiencia de usuario personalizada y realista en el metaverso, urge mejorar la seguridad del proceso de autenticación. La autenticación digital continua de un dispositivo y de la identidad de la persona que lo utiliza aporta una capa adicional de seguridad al proceso de inicio de sesión y ayuda a detectar anomalías en forma de imitación.

Más allá de los retos de seguridad en la propia tecnología, la seguridad en el metaverso debe abarcar también la seguridad de los individuos en ese espacio. Cualquier actividad nefasta que los humanos puedan hacer en este mundo, puede ser recreada por ellos en el metaverso. Tanto si la regulación es descentralizada como si la impone el gobierno, hay que actuar. De lo contrario, podríamos acabar con versiones fragmentadas del metaverso, cada una dentro de su propio jardín amurallado de regulación y políticas de seguridad.

Pero antes de que puedan desarrollarse nuevas estrategias de ciberseguridad, es necesario reforzar las defensas existentes para las tecnologías vitales para el metaverso, como 5G, IoT, blockchain e inteligencia artificial. Solo entonces podremos garantizar una base sólida para este nuevo reino virtual.

Aprender de nuestros errores de seguridad

Aunque el metaverso sigue estando al margen del uso que hacemos actualmente de Internet, existe el optimismo de que introducirá nuevas formas de interactuar y mundos virtuales totalmente nuevos en los que vivir. Sin embargo, el potencial para transformar nuestras vidas conlleva una nueva y atractiva oportunidad para las amenazas. Las vulnerabilidades existentes, heredadas al construir esta nueva frontera sobre tecnología heredada, podrían explotarse en las esferas profesional y personal con el fin de obtener beneficios o causar daños a terceros. Para hacer frente al riesgo cibernético, habrá que adoptar como procedimientos operativos estándar una red armoniosa de autenticación digital continua, confianza cero y medios reflexivos de recopilación de datos.