En estos mundos tridimensionales surgirán nuevos problemas de privacidad y seguridad. A medida que los proveedores de plataformas compitan por el dominio, cabe esperar riesgos similares en el metaverso a los que hemos visto en las redes sociales, como phishing, pharming, suplantación de identidad, desinformación e incursiones en el ransomware.
También habrá nuevas repercusiones en la privacidad de los consumidores, porque la cantidad de datos ricos y detallados que recogen estas aplicaciones son objetivos jugosos para delincuentes y vendedores. Las tecnologías metaverso exigirán que se recopilen muchos más datos de los que ya se recogen en las redes sociales, como la forma en que se gira la cabeza y dónde se enfocan los ojos para colocar correctamente las pantallas.
Nuevas fronteras del engaño
Los delitos basados en la ingeniería social ya proliferan en la Internet 2.0 actual. Los operadores de ransomware utilizan un buen gancho para conseguir que la gente haga clic en enlaces de correos electrónicos y los anuncios maliciosos se sirven en Google y otros motores de búsqueda, en las redes sociales e incluso a través de videoconferencias y plataformas de chat.
Ahora pensemos en la Internet inmersiva en 3D en la que un avatar que parece el jefe o el jefe del jefe pide a un ejecutivo contable que transfiera dinero (una versión metaversa de las estafas BEC actuales). O imaginemos a estafadores que piratean cuentas de usuario para entrar en mundos de desarrollo y desviar propiedad intelectual.
Algunos de ellos ya se están produciendo. Arkose Labs, una empresa de seguridad de cuentas online y prevención del fraude, informó de que, en 2021, los negocios metaversos se enfrentaron a un 80 % más de ataques de bots y a un 40 % más de ataques humanos que otros negocios online. Construidos para eludir las defensas tradicionales, estos ataques se centraron en el robo de identidad digital para llevar a cabo fraudes de microtransacciones, spam, estafas y competencia desleal.
Aunque los expertos en seguridad apuntan a la autenticación y los controles de acceso para protegerse de las estafas y ataques basados en el metaverso, el creciente número de plataformas que proporcionan acceso al metaverso pueden o no disponer de mecanismos seguros para reconocer los fraudes.
Una de las principales vulnerabilidades es la falta de protocolos o mecanismos de seguridad estandarizados en todas las plataformas. Como resultado, los ciberdelincuentes pueden utilizar el metaverso para diversos fines, como el robo de identidad, el fraude o los ataques maliciosos a otros usuarios. Dado que la gente puede descargar programas y archivos desde el metaverso, también existe el riesgo de que estos archivos contengan malware que podría infectar el ordenador o dispositivo de un usuario y propagarse a los sistemas de la organización. Otra amenaza es la piratería: dado que el metaverso se encuentra aún en sus primeras fases de desarrollo, no existen leyes ni normativas escritas específicamente para el metaverso que protejan la propiedad intelectual dentro de este entorno digital.
Muchos más datos que recopilar y proteger
Por eso, los CISO y las empresas a las que apoyan tienen que anticiparse a estos nuevos riesgos para su negocio y los datos de los usuarios. El crecimiento de los metaversos abrirá nuevas posibilidades de ataque. A falta de normas y reglamentos, se puede comparar los metaversos con el "Salvaje Oeste". Además de la debilidad de la autenticación utilizada en las plataformas públicas de metaversos para animar a los nuevos usuarios a registrarse.
De igual manera se resalta la falta de mecanismos de aplicación para los infractores de la privacidad, que va de la mano de la falta de regulación. Por ejemplo los auriculares Oculus de Meta o la inversión de Microsoft en servicios de chatbot. Considera qué datos están recopilando, ya sea el nombre de usuario, la contraseña, la tarjeta de crédito, el ID del dispositivo, la frecuencia del pulso, los movimientos, con qué interactúas en un entorno urbano, el historial de geolocalización... todo es una incógnita en términos de qué regulaciones se aplican.
Estos datos podrían explotarse fácilmente para influir en los compradores y aumentar la polarización como la que estamos viendo actualmente en las plataformas de medios sociales. Un chatbot de marketing habilitado para IA que se haga pasar por una persona más en un mundo virtual podría estar hablando a un consumidor potencial sobre un coche nuevo muy bonito que se ha comprado. Esta forma de engaño depredador puede ir mucho más lejos que en las plataformas sociales actuales utilizando algoritmos inteligentes para monitorizar el estilo de hablar, las expresiones faciales, las pulsaciones, la presión sanguínea y el ritmo cardíaco del objetivo para poder aplicar "la persuasión definitiva".
La normativa 3D será distinta de la 2D
Aunque gráficas e inmersivas, la mayoría de las experiencias metaversas actuales siguen siendo bidimensionales. Pero se predice que 2023 será el año de la realidad artificial (RA) y la realidad virtual (RV) con auriculares, a las que no se aplicarán las normativas actuales. Pero la abogada especializada en privacidad Liz Harding afirma que las leyes más recientes, como el GDPR, pueden proporcionar al menos algunas directrices, sobre todo en mundos globales.
Con las tecnologías metaversales, hay grandes cuestiones en torno a la jurisdicción. Digamos que estoy en Estados Unidos y tengo un colega en Alemania y nos reunimos en el metaverso y se recogen datos o se graba la reunión. Será difícil argumentar que las leyes del lugar donde se aloja la plataforma son las únicas aplicables, sobre todo si en esas interacciones intervienen a sabiendas personas de distintas jurisdicciones.
Rastrear dónde se encuentran físicamente esas personas y recopilar sus datos de localización precisos para intentar cumplir la legislación internacional podría dar lugar a una infracción si no se toman las medidas de cumplimiento adecuadas (como obtener el consentimiento apropiado). Luego está la cuestión de qué tipo de comunidad presenta qué tipo de datos. La recopilación de datos médicos, de recursos humanos y otros datos sensibles dará lugar a obligaciones adicionales de cumplimiento en materia de privacidad.
Centrarse en las mejores prácticas actuales
Preparado o no, Gartner predice que los metaversos tendrán un profundo impacto en las experiencias de los empleados para 2030, abarcando todo, desde las transacciones entre empleados y consumidores, el aprendizaje, las adquisiciones, la incorporación de empleados, las actividades de colaboración y los espacios de oficinas virtuales, por nombrar algunos. Algunos de ellos serán "mini-versos" construidos específicamente, mientras que otros implicarán plataformas compartidas a gran escala. Proveedores de plataformas como Meta, Microsoft, Apple, Sony, Amazon AWS, Google, NVIDIA Omniverse y Epic Games están invirtiendo miles de millones de dólares en plataformas y auriculares para dominar este nuevo mercado.
Para proteger a los usuarios y los datos en esta frontera virtual emergente, se sugiere centrarse en las mejores prácticas que ya se utilizan hoy en día. Algunas compañías llevan años ayudando a las empresas a crear experiencias metaversas, utilizando modelado de amenazas, desarrollo seguro, encriptación, autenticación, verificación, recolección segura de datos y políticas de almacenamiento alineadas con la legislación vigente.
En cuanto a los recursos de los CISO, Lecea señala el Future of Privacy Forum, que aboga por políticas y controles más estrictos para proteger la información sensorial, sonora y biométrica derivada de los dispositivos de realidad virtual. "Según el Future of Privacy Forum, una sesión de realidad virtual de veinte minutos podría recopilar más de dos millones de puntos de datos únicos por usuario, mientras que una sesión de redes sociales tradicionales recopila cincuenta y cinco mil puntos de datos por usuario", señala. "Estos datos deben protegerse, por lo que contar con un marco de seguridad para desarrollar estas aplicaciones es fundamental".
Fuente: CSO
Comentários