El metaverso está llegando y más pronto de lo que se cree. Gartner prevé que para 2026, una cuarta parte de las personas pasará al menos una hora al día en este mundo virtual. Se trata de una gran noticia para las empresas, ya que permitirá crear nuevos modelos de negocio y formas de trabajar que añadirán valor, pero también supondrá un reto, sobre todo desde el punto de vista de la seguridad corporativa. Si a día de hoy, la mayoría de las empresas luchan por proteger sus datos y la infraestructura que ya tienen, esta acción, en el mundo multidimensional del metaverso, se volverá exponencialmente más difícil.
Ahora bien, ¿qué riesgos supondrá el metaverso? Mucha gente estará familiarizada con los actuales retos de seguridad a los que se enfrentan las organizaciones digitales. El metaverso tendrá desafíos similares, sólo que adaptados a las diferentes formas de aceptación, interacción y acceso que conllevan los entornos virtuales inmersivos. Teniendo en cuenta esto, surgen cuatro preguntas clave que todo CISO y los departamentos de tecnología deberían plantearse sobre el metaverso:
¿Podemos proteger la información personal (y otros datos sensibles) en el metaverso?
El metaverso no cambia las obligaciones de las empresas de proteger la información personal según lo establecido en normativas como el RGPD. Lo que sí hace, sin embargo, es aumentar exponencialmente la cantidad de información personal y otros datos sensibles que las organizaciones recopilarán, almacenarán y gestionarán para ofrecer experiencias en el metaverso. Muchos de estos datos procederán de tecnologías que permiten difuminar los límites entre lo digital y lo físico que define el metaverso, como los dispositivos biométricos, los altavoces/micrófonos inteligentes y los cascos de realidad virtual. La gobernanza de los datos, la seguridad de los puntos finales, la seguridad de la red y muchas otras cosas serán significativamente más importantes a medida que prolifere la información personal, y estas capacidades deberán ofrecerse de forma que no ralenticen el rendimiento de la red subyacente.
¿Puedo autenticar a los usuarios?
Otro reto que conocemos de las tecnologías corporativas actuales es cómo verificar la identidad de las personas cuando acceden a servicios digitales sensibles, como aplicaciones bancarias o redes corporativas. En la actualidad, esto se consigue a menudo mediante la autenticación multifactorial, pero este enfoque simplemente no funcionará en el metaverso. Estamos entrando en un mundo de avatares que poblarán entornos 3D en tiempo real. Por ello, es poco práctico que una persona abandone su sesión virtual y se quite los auriculares para completar una transacción de autenticación en el mundo real. Las organizaciones necesitarán, por tanto, formas infalibles para asegurar que el avatar de una persona está siendo controlado por ella misma y que no ha sido falsificado, incluso con aprendizaje profundo.
En este sentido están surgiendo una serie de enfoques que utilizan la biometría para construir una línea de base de los comportamientos y gestos de los usuarios que son tan únicos para los individuos como las huellas dactilares, y que pueden ser utilizados para alertar automáticamente a los departamentos de seguridad si el avatar de un usuario se comporta de manera anormal. Otros posibles enfoques podrían consistir en utilizar el reconocimiento de patrones del iris para vincular un avatar único a un auricular de RV individual o incrustar identificadores cifrados únicos en los avatares para protegerlos contra la falsificación.
¿Podemos proteger a los usuarios de la intimidación, el acoso y la explotación?
Hoy en día, las partes más oscuras de las plataformas de redes sociales están inundadas de agresiones, acoso y explotación. No hay razón para pensar que estas lacras no afectarán también al metaverso. Sin embargo, al tratarse de una experiencia inmersiva en 3D, los efectos psicológicos de este tipo de comportamientos serán probablemente más angustiosos para las víctimas. Los avatares son extensiones del usuario y están íntimamente ligados a la identidad de esa persona. Para muchas personas, una experiencia en el metaverso se sentirá tan real como una en su vida cotidiana. Esto será aún más cierto cuando innovaciones como los guantes hápticos y los mecanismos de retroalimentación táctil lleven la sensación del tacto al metaverso.
Incluso en esta fase incipiente del metaverso, están surgiendo retos importantes. Por ejemplo, a raíz de las quejas de las usuarias de su plataforma Horizon Worlds, que afirmaban que sus avatares habían sido manoseados, Meta Platforms ha introducido un «límite personal», que coloca un escudo de 120 centímetros alrededor de sus avatares. Todas las empresas deben considerar dónde están los límites entre el mundo físico y el virtual, el deber de cuidado que deben tener con los usuarios y la mejor manera de equilibrar la seguridad de los usuarios con la usabilidad del metaverso.
En última instancia, la solución de este problema requerirá una legislación clara en torno a lo que no está permitido en los reinos digitales, junto con una capacidad para aplicar nuevas leyes. Pero, ¿cómo se va a gobernar y vigilar esto? ¿Quién será la autoridad central cuando estos entornos crucen las fronteras jurisdiccionales, por no hablar de las plataformas metaversas? Sin embargo, las empresas pueden ayudar con sus propios equipos de moderación, al igual que hacen ahora con los contenidos abusivos en las plataformas de las redes sociales. Además, como establece esta opinión del Foro Económico Mundial, una solución también radicará en «encontrar formas de incentivar mejores comportamientos y quizás recompensar las interacciones positivas».
¿Podemos gestionar este tipo de superficie de ataque de rápido crecimiento?
La mayoría de las organizaciones actuales compartirían la opinión de que la proliferación de dispositivos, el crecimiento de los datos y la creciente superficie de ataque son retos importantes. El metaverso no hará más que incrementar este desafío.
Es un tópico en materia de seguridad que las personas suelen ser el eslabón más débil de una organización y, de hecho, la ingeniería social representa la mayor parte de los hackeos exitosos. En los mundos virtuales inmersivos será más sencilla la manipulación psicológica y la difusión de información errónea que los delincuentes podrían utilizar de diversas formas nefastas. Por ejemplo, el Metaverso de Sensorium Corp ya se ha utilizado para difundir información incorrecta sobre las vacunas.
Hoy en día, formar a las personas sobre las amenazas a la seguridad y enseñarlas a no caer en las trampas tendidas por nuestros adversarios es tan importante como establecer sólidas protecciones cibernéticas.
La seguridad del metaverso empieza aquí
Las preguntas anteriores son sólo algunos de los retos que planteará el metaverso y es bueno ver que algunos de nosotros ya estamos hablando de ello y ayudando a reflexionar. Hay muchos más, como la prevención del mal uso de los mundos virtuales por parte de los terroristas (el metaverso sería un campo de entrenamiento muy eficaz para posibles ataques) y la lucha contra los esquemas de fraude que tienen como objetivo los activos virtuales (el fraude NFT, después de todo, ya existe). Pero los responsables de las empresas no deberían asumir ninguno de estos hechos como una razón para no explorar el metaverso.
No nos equivoquemos, es muy probable que el metaverso tenga un impacto similar al que tuvo en su momento Internet. Por eso, cuanto más hagamos ahora y más preguntas nos planteemos, mayores posibilidades tendremos de que el metaverso aporte el máximo beneficio con el mínimo riesgo.
David Fairman
Director de Seguridad APAC de Netskope