Metaverso

Los 4 riesgos en el metaverso relacionados con seguridad de los que alerta KPMG

Desde la perspectiva de una organización, el metaverso abre nuevas vías de crecimiento a través de interacciones más inmersivas y contextuales; permite mejorar las relaciones con los clientes y llegar a transformar las estructuras de costes.

Sin embargo, este nuevo contexto entaña riesgos significativos de ciberseguridad que las organizaciones han de tener en cuenta, tal y como alerta el informe de KPMG ‘Consideraciones de ciberseguridad para el Metaverso’.

En él, Javier AznarSergio Gómez y Juan Manuel Zarzuelo, socios del Área de Riesgo Tecnológico en KPMG advierten que el creciente realismo de estas experiencias introduce preocupaciones adicionales en cuanto a seguridad y protección, dado que lo que los usuarios ven, oyen y tocan es cada vez más similar a la realidad.

También los desafíos van ligados a la privacidad. Por ello, concretan en el informe que es muy importante disponer de medidas de seguridad apropiadas que permitan proteger la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales tanto por cumplimiento normativo como para evitar potenciales brechas de seguridad. De ahí que los responsables de seguridad sean uno de los actores más valiosos en las iniciativas y proyectos relacionados con el Metaverso.

«Los responsables de seguridad ayudan a salvaguardar a los clientes y a proteger las inversiones de las empresas», señalan los autores al tiempo que identifican 4 riesgos en su informe:

1. Suplantación de identidad digital

 La identidad ha sido la piedra angular de las funciones de seguridad, pues constituye el elemento central para generar confianza. Las decisiones para conceder acceso a recursos o autorizar acciones —como, por ejemplo, transferir fondos o suscribir un contrato de arrendamiento— se toman atendiendo a cómo verificamos y establecemos confianza en «quién es usted».

Hay que advertir que los deepfakes también están aumentando y, en un espacio virtual con el uso de software de modulación de voz, resulta cada vez más fácil suplantar a otra persona y engañar así a las víctimas.

Y es que las experiencias virtuales ofrecen nuevas oportunidades para que los actores maliciosos cometan actos de fraude de formas cada vez más creativas.

Por ejemplo tal y como expone el informe, imagine que asiste a un concierto virtual y paga una suma de dinero adicional por un pase de backstage virtual para conocer a su ídolo, hacerle preguntas e intercambiar impresiones. Un organizador malicioso podría contratar a personas normales para que simularan ser el cantante creando varios eventos de backstage simulados. Así, en lugar de vender en torno a una docena de pases de backstage, podría vender miles y conseguir elevados beneficios. Además de engañar a los compradores de la experiencia, la estafa podría afectar a la imagen y reputación de las empresas que organizan eventos de backstage legítimos.

Por ello, alertan desde KPMG que para los proveedores de plataformas de Metaverso, establecer confianza en la identidad del consumidor debe convertirse en una prioridad clave.

Los consumidores deben poder interactuar con sus creadores preferidos y ha de ser posible el intercambio de activos digitales utilizando la verificación y la comprobación de la identidad de manera similar a las normas de «conoce a tu cliente» de las entidades financieras.

En este sentido animan a plantearse hacer uso de las innovaciones e integraciones con protocolos de autentificación sin contraseña: por ejemplo, credenciales FIDO o credenciales verificables (VC, por sus siglas en inglés) que hacen posible una autentificación más firme y reducen el riesgo de phishing y ataques de ingeniería social.

De este modo, los consumidores optarán por acceder a plataformas y recursos de partners que ofrezcan autentificación multifactor y protocolos de identificación y verificación, especialmente para transacciones o interacciones de máximo riesgo.

2. Interoperabilidad

Muchos gurús del metaverso han manifestado que este no podrá alcanzar su máxima expresión hasta que se resuelvan las cuestiones de interoperabilidad y portabilidad; para que los consumidores trasladen sus avatares e identidades digitales más amplias como activos (NFT, criptomonedas, etc.) a múltiples entornos del metaverso con la confianza establecida.

Las partes interesadas del sector y la comunidad del área de seguridad deben trabajar conjuntamente para establecer protocolos de interoperabilidad y controlarlos, insiste KPMG.

Como se ha observado con los actos de hacking de alto perfil en «puentes» con criptomonedas, deben construirse conexiones seguras y resilientes para mantener la confianza. Asimismo, existe una necesidad de autorregulación y establecimiento de normas básicas de seguridad para hacer posible la interoperabilidad en un entorno seguro.

Contar con un conjunto definido de principios para prevenir determinados tipos de ataques en varios metaversos va a ser un paso crucial que exigirá que las empresas trabajen juntas.

Pagar una determinada cantidad de dinero por un activo exclusivo en un metaverso que está vinculado a la identidad de una persona y que le sea robado en un entorno diferente con menor seguridad y mecanismos más débiles de prevención de fraudes crearía fracturas considerables en la manera en que se mantendría la interoperabilidad y socavaría la confianza en el conjunto del ecosistema.

3. Riesgo de apropiación de cuenta – ataque de reproducción de credenciales

El desarrollo y la integración de bots en el metaverso, puede generar nuevas maneras de captar o robar credenciales y secretos de los usuario. Dado que en el metaverso ya se compran y venden activos y productos, la apropiación de cuentas y la transferencia de activos a cuentas clandestinas puede convertirse en un riesgo.

Actores malintencionados podrían obtener acceso a un historial de búsquedas; historial de ubicaciones y correos electrónicos, y causar más perjuicio, apropiándose de cuentas en redes sociales o datos bancarios.

Por ello, va a ser imprescindible prevenir la apropiación de cuentas estableciendo un mecanismo seguro para impedir el robo de identidades, detectando conexiones fraudulentas potenciales en el caso de que se hayan robado las credenciales y creando mecanismos para que los usuarios legítimos recuperen sus cuentas lo más rápidamente posible.

4. Protección / uso indebido de datos

No hay que olvidar que las tecnologías inmersivas, como la realidad virtual y la realidad aumentada, ofrecen la oportunidad de recabar mucha más información que la que pueden generar los dispositivos móviles. El mayor número de sensores en dichas tecnologías les permite correlacionar numerosas señales. Por ejemplo, las tecnologías inmersivas podrían ayudar en la detección temprana de enfermedades, mejorar el rendimiento de los deportistas e, incluso, permitir pasear por una calle concurrida en un país extranjero para encontrar un restaurante cercano.

Pero al mismo tiempo, datos biométricos captados por actores maliciosos podrían ocasionar un perjuicio real a las víctimas. Por ejemplo, el movimiento corporal y la manera en que habla una persona podría, en algunos casos, grabarse y analizarse para crear puntos de datos y predecir determinadas preferencias o decisiones que probablemente podría tomar el usuario. Al mismo tiempo, esta información puede utilizarse indebidamente para etiquetar la orientación sexual o la afiliación política de la víctima de forma negativa.

A medida que más desarrolladores construyen su propia experiencia sobre las plataformas de metaverso, la concesión de acceso a los datos dentro de dicha plataforma debe examinarse detenidamente y supervisarse activamente para evitar la recopilación ilegal o el uso indebido de dichos datos.

Las entidades que deseen estar presentes en el metaverso deben garantizar que cumplen con los requisitos fundamentales de privacidad, por ejemplo, con el deber de información y consentimiento expreso de cara al tratamiento en ese contexto.

Deberán contar con políticas de privacidad claras, completas y comprensibles, en las que se especifique el uso que se le dará a los datos personales de los interesados, así como las finalidades para su tratamiento.

Tal y como subraya el informe, mientras la evolución del metaverso avanza con rapidez, los responsables de seguridad deben mantenerse alerta y trabajar en un programa holístico de ciberseguridad. De este modo, inspirarán confianza a todas las partes interesadas, y crearán el espacio y el permiso para crecer, innovar y alcanzar el éxito de manera sostenida en el tiempo.

Dia de la dona
Infonif Bases de datos
Ruta de las barracas Alcati

Dejar una respuesta

*