
[01/02/2023] El metaverso está llegando; las empresas y los organismos públicos ya están construyendo mundos virtuales para apoyar los servicios municipales, las reuniones y conferencias, la creación de comunidades y el comercio. También están creando aplicaciones espaciales en torno a los viajes, la venta de autos, la fabricación y la arquitectura en lo que Citi predice que será un mercado de 13 mil millones de dólares con cinco mil millones de usuarios en el 2030.
"Al igual que Internet, el comercio electrónico, las redes sociales, los teléfonos inteligentes y la informática remota han cambiado en las dos últimas décadas la forma en que las empresas operan y llegan a sus empleados y clientes, las organizaciones están experimentando ahora con el metaverso porque lo ven como una extensión de las transformaciones anteriores", afirma Cathy Barrera, economista fundadora de Prysm Group, que colabora con Wharton College en la impartición de programas de educación ejecutiva sobre negocios metaversos y blockchain.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
En estos mundos tridimensionales surgirán nuevos problemas de privacidad y seguridad. A medida que los proveedores de plataformas compitan por el dominio, cabe esperar riesgos similares en el metaverso a los que hemos visto en las redes sociales, como phishing, pharming, suplantación de identidad, desinformación e incursiones de ransomware. También habrá nuevas repercusiones en la privacidad de los consumidores, porque la cantidad de datos ricos y detallados que recogen estas aplicaciones son objetivos jugosos para delincuentes y vendedores. "Las tecnologías metaverso exigirán que se recopilen muchos más datos de los que ya se recogen en las redes sociales, como la forma en que se gira la cabeza y dónde se enfocan los ojos para colocar correctamente las pantallas", afirma Barerra.
Nuevas fronteras del engaño
Los delitos basados en la ingeniería social ya proliferan en la actual Internet 2.0. Los operadores de ransomware utilizan un buen gancho para que la gente haga clic en los enlaces de los correos electrónicos, y los anuncios maliciosos aparecen en Google y otros motores de búsqueda, en las redes sociales, e incluso a través de videoconferencias y plataformas de chat.
Ahora pensemos en la Internet inmersiva en 3D en la que un avatar que parece el jefe -o el jefe del jefe- pide a un ejecutivo contable que transfiera dinero (una versión metaversa de las estafas BEC actuales). O imaginemos a estafadores que piratean cuentas de usuario para entrar en mundos de desarrollo y desviar propiedad intelectual.
Algunos de estos casos ya están ocurriendo. Arkose Labs, una empresa de seguridad de cuentas online y prevención del fraude, informó de que en el 2021 los negocios metaversos se enfrentaron a un 80% más de ataques de bots y a un 40% más de ataques humanos que otros negocios online. Construidos para eludir las defensas tradicionales, estos ataques se centraron en el robo de identidad digital para llevar a cabo fraudes de microtransacciones, spam, estafas y competencia desleal.
Aunque los expertos en seguridad apuntan a la autenticación y los controles de acceso para protegerse de las estafas y ataques basados en el metaverso, el creciente número de plataformas que proporcionan acceso al metaverso pueden o no disponer de mecanismos seguros para reconocer los fraudes, afirma Paul Carlisle Kletchka, analista de gobernanza, riesgo y cumplimiento (GRC) de Lynx Technology Partners, proveedor de servicios GRC.
"Una de las principales vulnerabilidades es la falta de protocolos o mecanismos de seguridad estandarizados en todas las plataformas", afirma. "Como resultado, los ciberdelincuentes pueden utilizar el metaverso para diversos fines, como el robo de identidad, el fraude o los ataques maliciosos a otros usuarios. Dado que la gente puede descargar programas y archivos desde el metaverso, también existe el riesgo de que estos archivos contengan malware que podría infectar la computadora o dispositivo de un usuario, y propagarse a los sistemas de la organización. Otra amenaza es la piratería: dado que el metaverso se encuentra aún en sus primeras fases de desarrollo, no existen leyes ni normativas escritas específicamente para el metaverso que protejan la propiedad intelectual dentro de este entorno digital".
Muchos más datos que recopilar y proteger
Por este motivo, los CISO y las empresas a las que apoyan tienen que adelantarse a estos nuevos riesgos para su negocio y los datos de los usuarios, afirma Michael Bruemmer, responsable de la unidad de Resolución Global de Infracciones de Datos de Experian. Bruemmer predice que el crecimiento de los metaversos abrirá nuevas posibilidades de ataque. También menciona la falta de normas y reglamentos, y compara los metaversos con el "Salvaje Oeste". Como mínimo, señala la debilidad de la autenticación utilizada en las plataformas públicas de metaversos para animar a los nuevos usuarios a registrarse.
Bruemmer, autor del décimo informe anual 2023 Data Breach Industry Forecast de Experian, también cita la falta de mecanismos de aplicación para los infractores de la privacidad, que va de la mano con la falta de regulación. "Mire los auriculares Oculus de Meta o la inversión de Microsoft en servicios de chatbot. Considere qué datos están recopilando, ya sea el nombre de usuario, la contraseña, la tarjeta de crédito, el ID del dispositivo, la frecuencia del pulso, los movimientos, con qué interactúas en un entorno urbano, el historial de geolocalización... todo es una incógnita en términos de qué regulaciones se aplican".
El especialista en realidad virtual, Louis Rosenberg, explica en un podcast llamado Into the Metaverse cómo estos y otros ricos datos podrían explotarse fácilmente para influir en los compradores, y aumentar la polarización como la que estamos viendo actualmente en las plataformas de medios sociales. Un chatbot de marketing habilitado para IA que se haga pasar por una persona más en un mundo virtual, podría estar hablando a un consumidor potencial sobre un auto nuevo muy lindo que se ha comprado. Esta forma de engaño predatorio puede ir mucho más lejos que en las plataformas sociales actuales, utilizando algoritmos inteligentes para monitorizar el estilo de hablar, las expresiones faciales, el pulso, la presión sanguínea y el ritmo cardíaco del objetivo para poder aplicar "la persuasión definitiva", anota en el podcast.
Yon Raz-Fridman, presentador de Into the Metaverse y consejero delegado fundador de Supersocial, empresa constructora de mundos virtuales, afirma que su empresa desarrolla soluciones empresariales en la plataforma de juegos Roblox, debido a la larga historia y experiencia de Roblox en la creación de privacidad y seguridad en su plataforma. Señala que su empresa ayuda a sus clientes a crear sus mundos virtuales para alimentar comunidades y crear conciencia en torno a su marca y sus productos. Por ejemplo, los ingenieros y diseñadores de Supersocial crearon Nars Color Quest para la marca de cosméticos Nars, que se convirtió en la experiencia de belleza número uno en la plataforma Roblox.
"La gran ventaja de construir en la plataforma Roblox es que es relativamente segura y estable. Cuando los clientes nos preguntan por la privacidad y la seguridad, les explicamos las mejores prácticas de la plataforma, para que entiendan perfectamente algunos de los riesgos potenciales y cómo los mitiga la plataforma. No somos propietarios de la plataforma, así que nos apoyamos en la seguridad y en las políticas descritas y gestionadas por Roblox", afirma Raz-Fridman.
La normativa 3D será distinta de la 2D
Aunque gráficas y envolventes, la mayoría de las experiencias metaverso actuales siguen siendo bidimensionales. Pero Bruemmer, de Experian, predice que el 2023 será el año de la realidad artificial (RA) y la realidad virtual (RV) con auriculares, a las que no se aplicarán las normativas actuales. Pero la abogada especializada en privacidad Liz Harding afirma que las leyes más recientes, como el GDPR, pueden proporcionar al menos algunas directrices, sobre todo en mundos globales.
Harding, vicepresidente de transacciones tecnológicas y privacidad de datos del bufete de abogados Polsinelli y cualificado tanto en el Reino Unido como en Estados Unidos, afirma que "con las tecnologías metaversales, hay grandes cuestiones en torno a la jurisdicción. Digamos que estoy en Estados Unidos y tengo un colega en Alemania, y nos reunimos en el metaverso y se recogen datos o se graba la reunión. Será difícil argumentar que las leyes del lugar donde se aloja la plataforma son las únicas que se aplican, sobre todo si está trayendo a sabiendas a personas de diferentes jurisdicciones a esas interacciones".
Rastrear dónde se encuentran físicamente esas personas y recopilar sus datos de localización precisos para intentar cumplir la legislación internacional podría dar lugar a una infracción si no se toman las medidas de cumplimiento adecuadas (como obtener el consentimiento apropiado), afirma Harding. Luego está la cuestión de qué tipo de comunidad presenta qué tipo de datos. La recopilación de datos médicos, de RR.HH. y otros datos sensibles dará lugar a obligaciones adicionales de cumplimiento de la normativa sobre privacidad.
Centrarse en las mejores prácticas actuales
Preparados o no, Gartner predice que los metaversos tendrán un profundo impacto en las experiencias de los empleados en el 2030, abarcando todo, desde las transacciones entre empleados y consumidores, el aprendizaje, las compras, la incorporación de empleados, las actividades de colaboración y los espacios de oficinas virtuales, por nombrar algunos. Algunos de ellos serán "mini-versos" construidos específicamente, mientras que otros implicarán plataformas compartidas a gran escala. Proveedores de plataformas como Meta, Microsoft, Apple, Sony, Amazon AWS, Google, NVIDIA Omniverse y Epic Games están invirtiendo miles de millones de dólares en plataformas y auriculares para dominar este nuevo mercado.
Para proteger a los usuarios y los datos en esta frontera virtual emergente, el director técnico de Globant, Pablo Lecea, sugiere centrarse en las mejores prácticas que ya se utilizan hoy en día. Globant lleva 15 años ayudando a las empresas a crear experiencias metaversas, utilizando modelado de amenazas, desarrollo seguro, cifrado, autenticación, verificación, recopilación segura de datos, y políticas de almacenamiento acordes con la legislación vigente. Entre sus muchos servicios de ingeniería, también ofrece servicios de ciberseguridad para sus clientes.
En cuanto a los recursos de los CISO, Lecea señala el Future of Privacy Forum, que aboga por políticas y controles más estrictos para proteger la información sensorial, sonora y biométrica derivada de los dispositivos de realidad virtual. "Según el Future of Privacy Forum, una sesión de realidad virtual de veinte minutos podría recopilar más de dos millones de puntos de datos únicos por usuario, mientras que una sesión de redes sociales tradicionales recopila cincuenta y cinco mil puntos de datos por usuario", señala. "Estos datos deben protegerse, por lo que contar con un marco de seguridad para desarrollar estas aplicaciones es fundamental".
Basado en el artículo de Deb Radcliff (CSO) y editado por CIO Perú
Puede ver también: