Ciberseguridad

Los metaversos y la seguridad: ¿entorno seguro o jungla?

El mundo virtual donde podremos interactuar entre nosotros, divertirnos, trabajar, estudiar y comprar a través de avatares está a la vuelta de la esquina. Sin embargo, desde el punto de vista de la seguridad hay que tener en cuenta ciertas amenazas.

10 minutos

Los universos virtuales presentan características y riesgos propios.

Desde que a finales de octubre de 2020, Mark Zuckerberg anunciara la conversión de Facebook en Meta y la apuesta decidida de su compañía por los metaversos, estos universos virtuales se han convertido en tendencia en el ámbito tecnológico y han dado el salto al público general. Hasta hace un año, la idea de un entorno donde los seres humanos se relacionaran social y económicamente como representaciones virtuales era algo más bien restringido a los techies y a los amantes de la literatura y el cine fantásticos. Ahora parece que el mundo virtual donde podremos interactuar entre nosotros, divertirnos, trabajar, estudiar y comprar a través de avatares está a la vuelta de la esquina.

Sin embargo, estos universos virtuales, como el real, no están exentos de riesgos. Riesgos financieros, riesgos relacionados con el impacto en la sociedad y riesgos para la seguridad de los usuarios. ¿Cuáles son estos últimos?

Riesgos para la seguridad

Partiendo de la base de que toda conexión a una red digital supone un riesgo, mayor o menor, para la seguridad, el uso de universos virtuales presenta características propias. Los riesgos que han generado más inquietud hasta el momento son la extracción de datos, la suplantación de identidad y los problemas de privacidad.

El acceso a los metaversos se efectúa a través de dispositivos de realidad virtual y aumentada, como gafas o cascos, y aplicaciones móviles. Los datos que recogen estos dispositivos van más allá de las cookies, la ubicación o los perfiles de edad, género y nacionalidad; se trata de los llamados datos biométricos: expresión facial, voz, huellas dactilares, movimientos corporales o respuestas fisiológicas a estímulos. Meta ha patentado recientemente tecnologías de seguimiento de ojos y movimientos del rostro, recogidas mediante cámaras o sensores; rastreo de las expresiones faciales del usuario; seguimiento de las posturas del cuerpo y un motor de personalización de avatares basado en las fotos del usuario que crearía réplicas en 3D de personas, lugares y objetos prácticamente idénticas a los reales.

De esta forma, la experiencia en el metaverso sería lo más personalizada posible, incluyendo la publicitaria. Ahora bien: ¿qué sucedería si entidades o personas ajenas pudieran acceder a estos datos tan sensibles con intenciones maliciosas? Las consecuencias afectarían al avatar hackeado, pero también a la persona real que está detrás de ese avatar.

Samuel Parra, abogado especialista en Ciberseguridad, apunta por su parte a otro riesgo potencial de los metaversos: la suplantación de identidad. “Para mí, el principal riesgo, y el más importante, es la suplantación de identidad. En un metaverso es más sencillo suplantar la identidad que en el mundo real porque no es necesario acreditarla físicamente”. Y esto, en un mundo donde se llevarán a cabo muchas actividades análogas a las del mundo físico -trabajar, comprar, abrir una cuenta bancaria-, supone un problema potencial para la seguridad.

Otros riesgos para la seguridad que pueden darse en los metaversos tienen que ver con las acciones de ingeniería social, para obtener datos de los usuarios o convencerles de que adopten determinados comportamientos perjudiciales, y con los robos de las monedas virtuales que suponen la base de la economía en estos universos.

Según investigadores de Cisco, los ciberdelincuentes ya están desarrollando formas de robo específicas como los contratos inteligentes fraudulentos. Los contratos inteligentes son piezas de código que se ejecutan automáticamente cuando se dan unas circunstancias prefijadas y, en teoría, garantizan que un comprador recibirá un activo digital o un NFT al efectuar un pago. Pero estos contratos maliciosos en realidad ejecutan una función que da a los ciberestafadores acceso a todos los tokens y criptomonedas que el usuario tiene en su cartera digital.

Un pasado de problemas de privacidad

Vistos todos estos riesgos, las empresas propietarias de los metaversos “deberían implantar sistemas muy robustos para verificar la identidad online”, como afirma Parra. “De que lo consigan dependerá que puedan generar confianza en los usuarios y, de esto último, el éxito de los metaversos”, asegura. El problema está en que el índice de confianza en las grandes compañías tecnológicas no es demasiado elevado, consecuencia de los numerosos problemas de privacidad que han sufrido en los últimos años. 

Los metaversos pueden suponer un riesgo para nuestra privacidad.

En el caso de Facebook, la principal valedora de los metaversos, la privacidad ha sido uno de sus principales puntos débiles desde que estallara el escándalo de Cambridge Analytica en 2018. La consultora británica recopiló datos de 87 millones de usuarios de la red social sin su consentimiento, con el fin de usarlos principalmente para realizar propaganda política en favor de Ted Cruz y Donald Trump en las elecciones presidenciales estadounidenses de 2016. Facebook tuvo que pagar una multa de 5.000 millones de dólares por exponer los datos de sus usuarios a un “serio riesgo de daño”. 

No ha sido el único caso. En septiembre de 2019 se conoció que Facebook había dejado uno de sus servidores sin protección durante un año, lo que permitió a los ciberdelincuentes acceder a 419 millones de números de teléfono, el identificador de Facebook asociado y, en algunos casos, el nombre del usuario, su género y su país. En abril de 2021, se filtraron los datos de 553 millones de usuarios de Facebook, un 20% del total, que incluían nombres completos, fechas de nacimiento y ubicaciones. Los datos fueron publicados en un foro para su descarga gratuita. Aunque Facebook ha implementado el protocolo de protección de datos GDPR en todo el mundo, junto a otras medidas para reforzar la seguridad, el propio Zuckerberg reconoció en la revista británica Vox que las  filtraciones de datos de su plataforma son un problema que tardará “algunos años” en resolverse.

Microsoft, otra de las grandes tecnológicas que ha anunciado que apostará por los metaversos, tampoco es ajena a las fallas de seguridad. En diciembre de 2020, una brecha de datos masiva de su servicio de soporte dejó al descubierto información que no estaba completamente anonimizada. También su servicio cloud Azure sufrió, a finales de 2019, una vulnerabilidad que permitía la ejecución remota de código para romper el aislamiento de la nube y manipular los programas. Y a  finales de ese mismo año, un error de configuración de una base de datos del área de soporte al cliente de Microsoft dejó expuestos 250 millones de registros. En todos los casos, la compañía reaccionó con rapidez y solventó los fallos antes de que se produjeran daños mayores.

En cuanto a Google, que está adoptando una posición más prudente pero también ha movido ficha en el ámbito de la computación inmersiva, también se ha visto envuelta en controversias sobre la privacidad. La Autoridad de Protección de Datos de Austria (DSB) dictaminó a principios de este año que Google Analytics viola las normas europeas de privacidad al transferir datos de ciudadanos comunitarios a servidores de Estados Unidos. Amnisty Tech, por su parte, ha denunciado que la publicidad basada en el rastreo usada por Google, entre otras compañías, menoscaba la privacidad de los ciudadanos y efectúa una “constante vigilancia de nuestras vidas para ofrecernos anuncios”, en palabras de Claudia Prettner, asesora jurídica y sobre políticas de Amnesty Tech.

Visto lo cual, cabe preguntarse si corporaciones cuya imagen está asociada a problemas de privacidad gozarán de la confianza de los usuarios a la hora de promover sus metaversos. Cierto es que los servicios de redes sociales, búsquedas, productividad y mensajería de Facebook, Google y Microsoft siguen contando con millones de usuarios, pero parece innegable que estas compañías deberán implantar en sus universos virtuales medidas dedicadas para salvaguardar la seguridad de la información de sus habitantes.

Medidas para proteger la seguridad y la privacidad

Aunque se ha hablado sobre todo de las posibilidades que ofrecen los metaversos en el trabajo, el ocio, la educación, la publicidad o los negocios, hay que decir que la seguridad también está en la mente de los impulsores del universo virtual. En la presentación de Meta, Zuckerberg prometió que su metaverso integrará medidas de gobernanza y responsabilidad sobre seguridad y privacidad.

Pero, a pesar de que el establecimiento de un marco de normas y controles debería ser imprescindible en los metaversos, por el momento nadie ha precisado qué medidas se van a adoptar para salvaguardar la privacidad y la seguridad de la información de sus usuarios. De hecho, en las citadas tecnologías patentadas por Meta no hay ninguna relacionada con este ámbito, pese a que es ahora, cuando se están sentando las bases de los metaversos, el mejor momento para establecer barreras de seguridad y privacidad que después sería más complicado integrar.

En los metaversos, por el momento nadie ha precisado qué medidas se van a adoptar para salvaguardar la privacidad y la seguridad de la información de sus usuarios.

Samuel Parra recuerda que, al menos a nivel europeo, “ya hay medidas de protección de datos que se deben adoptar. Pero lo más importante serán las medidas extra que las empresas se comprometan a tomar en términos de confidencialidad y seguridad de los datos”. Como ejemplo, Parra habla de “un sistema transparente para que el usuario sepa qué información tiene la empresa sobre él y qué medidas de seguridad tiene implantadas”. 

Entre las medidas que deberían adoptarse en este ámbito, destacarían las relativas a la confidencialidad; esto es, garantizar que solo los actores autorizados puedan acceder a los datos y que nadie tenga acceso a la información durante su transmisión a través de la Red.

Otro punto importante es la integridad, estableciendo protocolos para proteger la información, evitando cualquier modificación o destrucción de la misma y garantizando la autenticidad de los datos. Esto incluye aspectos como la inmutabilidad y trazabilidad de la información, la calidad del dato y el empleo de contratos inteligentes para facilitar, verificar o reforzar las reglas entre las partes que efectúan operaciones en los metaversos.  

Por último, sería preciso asegurar la disponibilidad de los servicios del metaverso las 24 horas del día, haciendo que sus operaciones sean resilientes a posibles ataques o fallos en la infraestructura. 

Parra concluye que estas medidas “deberían implantarse para que la gente que entra al metaverso se sienta segura. Si no las adoptan, el metaverso fracasará o se convertirá en una jungla con niveles muy altos de impunidad. Como ciudadanos virtuales, necesitamos estas medidas para que no se convierta en una jungla”. 

Papel de la criptografía y el blockchain

Estas medidas destinadas a proteger la seguridad y la privacidad de los usuarios de los metaversos exigen, además del compromiso de las compañías, un desarrollo técnico novedoso. Los NFTs falsos, las nuevas posibilidades que ofrece la realidad virtual para la suplantación de identidad o el almacenamiento de ingentes cantidades de información personal y corporativa presentan nuevos desafíos para los desarrolladores de soluciones de ciberseguridad.

Tecnologías como la criptografía y el blockchain pueden aportar soluciones para la protección de los usuarios de los metaversos.

No obstante, los avances en tecnologías como la criptografía y el blockchain también suponen una buena noticia. De hecho, es difícil pensar en un metaverso seguro que no incorpore ambas. Pero, ¿qué papel juegan como guardianes de la seguridad de los usuarios?

La tecnología blockchain surge en 2008 como un modo de realizar transacciones bancarias seguras gracias a una encriptación especial de los datos. Blockchain crea una clave de identificación única de la información, que viaja a través de la Red de forma distribuida por consenso entre varios nodos, segmentando los datos en “cadenas de bloques”, que dan nombre a la tecnología, y distribuyéndolos entre estos nodos.

De esta manera, si un nodo es atacado, los hackers solo podrán hacerse con una parte de esa cadena, no con toda la información. Pero el resto de los nodos sí serán capaces de recuperar la información perdida a raíz del ataque y mantener así la integridad de los datos. El blockchain evita de esta forma el robo de datos y, al mismo tiempo, permite realizar un seguimiento de la información transmitida.

El despliegue de blockchain ha ido paralelo al desarrollo de la criptografía. En los últimos años, se ha popularizado el uso de la criptografía asimétrica para impedir que terceras personas sean capaces de leer información privada. En este sistema se crean dos claves criptográficas, una pública y una privada. La clave pública se puede entregar a cualquier persona para que cifre un mensaje, pero solo el propietario posee la clave privada para descifrarlo. Esta encriptación de datos permite al emisor y al receptor tener el control de la información transferida, evitando vulnerabilidades de seguridad.

El desarrollo de la criptografía y el blockchain ha ayudado a mitigar los problemas de ciberseguridad en sectores como el bancario, facilitando el desarrollo de la banca y el comercio electrónicos. Yendo a los metaversos, el blockchain cobra especial importancia ya que es la base que asegura las transacciones en criptomonedas, la forma de pago por excelencia en los universos virtuales.

Pero esta mayor seguridad de la información respalda su uso, no solo en las transacciones financieras en Bitcoins o Ethereum, sino también para garantizar la seguridad de los datos y evitar su acceso y manipulación por actores no autorizados. Confidencialidad, integridad y disponibilidad son características que resultan imprescindibles en los metaversos, y blockchain posee las tres.

El carácter anónimo y descentralizado de la información que permiten encaja bien, además, con la naturaleza del metaverso. Es cierto que la aplicación de estas tecnologías no es una solución mágica a todos los problemas de seguridad que se pueden dar en el metaverso, pero la combinación de sus características las convierte en una alternativa muy adecuada. A lo que habría que añadir que la implementación de estas herramientas que permitan mejorar la ciberseguridad de los servicios ofertados impactará positivamente en la confianza de los usuarios.