Crece la demanda de servicios de seguridad en el Metaverso
28 Septiembre 2022
CLAVES DEL ANÁLISIS
- 2021 fue un año record en cuanto a cifras de ciberataques a nivel global y se espera que la adopción del metaverso genere un nuevo repunte de esta tendencia.
- Faltan expertos para cubrir toda la demanda de ciberseguridad que existe actualmente, esto genera una gran oportunidad de negocio para las empresas que quieran embarcarse en el ámbito específico de la seguridad en entornos virtuales.
- Hay tres vectores de ataque que son intrínsecos a la ciberseguridad en el metaverso: la seguridad del hardware, la identidad digital y las brechas en las plataformas y marketplaces criptográficos.
- Por su parte, Grungo es el primer gabinete legal que ha establecido una rama de asesoramiento específico para el metaverso, con sede virtual en una parcela de Decentraland.
Si durante el año 2020, en plena crisis de la Covid-19, se vivió un enorme auge en los casos de cibercrimen, el comienzo de la expansión del metaverso y los nuevos entornos de realidad virtual, surgidos ya en el periodo post-pandemia, no han hecho si no incrementar esta problemática, trayendo consigo nuevos riesgos cibernéticos asociados. En este análisis vamos identificar ejemplos de cómo este tipo de ataques, intrínsecos al metaverso, ya están teniendo lugar y veremos casos de empresas que están empezando a conformar un nuevo ecosistema de innovación surgido con el fin de cubrir esta nueva demanda de seguridad en la red virtual.
2021, UN AÑO RECORD EN TÉRMINOS DE CIBERATAQUES
Antes de identificar cuáles son, en concreto, el tipo de ataques propios del metaverso y las compañías que están surgiendo en este nuevo ecosistema vamos a ver algunos datos estadísticos, publicados este mismo año por Checkpoint Research (5), que corroboran el auge continuado en el problema de la seguridad cibernética que se viene experimentando en el periodo post-Covid:
- En el año 2021 se produjo un incremento del 50% en el volumen total de ciberataques sufridos por las empresas comparado con el de 2020.
- En el Q4 de 2021 se vivió el mayor pico semanal de ciberataques sufridos por organización desde que tienen registro de ello, contabilizando un total de 925 por organización.
- El sector de Educación e Investigación ha sido el que mayor volumen de ataques ha experimentado en 2021, con una media de 1.605 ataques por organización sufridos semanalmente, lo cual representa un incremento del 75% con respecto a la cifra registrada en 2020. En segunda posición, le sigue el sector militar y gubernativo con 1.136 ataques por semana y un 47% de aumento interanual. En tercera posición, figura la industria de las telecomunicaciones con 1.079 ataques semanales y un 51% de aumento.
- A nivel geográfico, África es la región más atacada con una media de 1.582 ataques semanales por organización y un aumento del 13% con respecto a 2020. Le siguen APAC y Latino América en volumen total. Sin embargo, en Europa, aunque el volumen es menor, el crecimiento con respecto a 2020 ha sido de nada menos que el 68%. Una cifra similar a la registrada en Estados Unidos, con un 61%.
GRAN OPORTUNIDAD DE NEGOCIO
Sin embargo, frente a este crecimiento desorbitado en las cifras de ataques, los organismos públicos y privados siguen alertando de un vacío a cubrir en términos de falta de efectivos humanos para dar respuesta a esta necesidad.
Por ejemplo, según estimaciones de la Unión Europea, citadas por Mundo Hacker Academy (8), en 2022, se van a quedar sin cubrir más de 300.000 empleos en ciberseguridad en Europa. Por otro lado, según las investigaciones que manejan, el 37% de las necesidades de ciberseguridad que existen actualmente estarían sin cubrir.
Si tenemos en cuenta que, según estimaciones de JP Morgan (1), el mercado mundial del metaverso moverá un volumen de 8.000 millones de dólares anuales, podemos hacernos una idea de la oportunidad de negocio que está surgiendo para dar respuesta a los diferentes vectores de ataque asociados:
- Malware, hacking y phising tradicional, extrapolado a los entornos virtuales.
- Robo de activos virtuales (criptomonedas, NFTs).
- Ataques contra la privacidad y la identidad digital.
EJEMPLOS DE CIBERATAQUES EN EL METAVERSO
Dentro de los nuevos riesgos ligados al surgimiento del metaverso encontramos, además, nuevas tipologías de ciberataques propias únicamente de los entornos virtuales:
Ataques al propio hardware: el metaverso, para funcionar, requiere de una serie de equipamientos tecnológicos, como las gafas VR, que al estar conectadas corren el riesgo de convertirse en un nuevo objetivo para los ciberatacantes.
Actualmente, se están llevando a cabo investigaciones para tratar de entender cómo puede un hacker acceder a estos dispositivos para manipularlos con fines maliciosos.
- Ejemplo: la XR Satety Initiative (XRSI) es una organización mundial sin ánimo de lucro que se ha creado para promover la investigación en materia de privacidad y seguridad de los entornos inmersivos. Gran parte de su trabajo lo están enfocando a proporcionar a todos los stakeholders involucrados en la cadena de valor del metaverso información imparcial sobre los riesgos cibernéticos asociados a la realidad extendida. Una de las investigaciones que han llevado a cabo ha sido realizar una prueba de concepto para demostrar cómo un atacante cibernético puede manipular una plataforma de realidad virtual para reajustar los límites físicos del hardware y, a través de ello, por ejemplo, hacer que un usuario sea llevado andando hacia un tramo de escaleras o frente a una pared. De igual forma, un ataque podría tener por objetivo manipular la realidad aumentada en una escena para que los usuarios sean dirigidos malintencionadamente hacia una calle con tráfico o a situaciones físicas peligrosas, como espacios desprotegidos y solitarios donde después pueden ser atracados. (9)
Ataques contra la identidad digital y la privacidad de los datos: también relacionado con el punto anterior está el hecho de que los equipamientos tecnológicos para la realidad virtual tienen capacidad para registrar, almacenar y analizar un volumen masivo de datos sobre la actividad cotidiana del usuario. Salvaguardar la privacidad de esta información es otro de los aspectos críticos para la seguridad en el metaverso. Aquí se presenta de nuevo el eterno dilema: seguridad vs experiencia de usuario.
- Ejemplo: los Deepfakes. A diferencia de otros espacios sociales online, donde los perfiles públicos de los usuarios son sesgados, el metaverso tiene la capacidad de llevar a cabo prácticamente una réplica virtual de la identidad y la actividad cotidiana de una persona. Esto abre una vía de oportunidades para los ciberatacantes que busquen hacerse pasar por otras personas robando la identidad virtual de otro sujeto u entidad. En este aspecto, se está trabajando en sistemas basados en blockchain que sean capaces de hacer una verificación única e inmutable que cada identidad virtual. Otra posibilidad es la creación de exclamaciones de verificación que figuren encima de los avatares para que los usuarios puedan saber cuándo son reales o no. Un ejemplo de los avances que se han alcanzado ya en el terreno de los Deepfakes es el doble virtual que NVIDIA utilizó para representar a su CEO durante una pequeña parte de su presentación trimestral, en abril de 2021. Durante unos segundos del discurso del CEO, este fue sustituido intencionalmente por un avatar virtual sin que nadie de los presentes se percatara. Con este experimento NVIDIA demostró hasta qué punto pueden llegar a ser peligrosos los avances en simulación virtual de avatares si estos se utilizan con fines maliciosos. (10)
BIBLIOGRAFÍA
01. JP MORGAN. Opportunities in the metaverse. Febrero de 2022. [consultado 20-04-2022]. Disponible en: https://www.cnbc.com/2022/03/23/the-metaverse-may-bring-new-cyber-risks-heres-what-firms-can-do.html
02. CHECKPOINT RESEARCH. Check Point Research: Cyber Attacks Increased 50% Year over Year. 10 de enero de 2022 [consultado 20-04-2022]. Disponible en: https://blog.checkpoint.com/2022/01/10/check-point-research-cyber-attacks-increased-50-year-over-year/
03. CHECKPOINT RESEARCH. 18th April – Threat Intelligence Report. 18 de abril de 2022 [consultado 20-04-2022]. Disponible en: https://research.checkpoint.com/2022/18th-april-threat-intelligence-report/
04. CHECKPOINT RESEARCH. Check Point Research detects Vulnerability in the Rarible NFT Marketplace, Preventing Risk of Account Takeover and Cryptocurrency Theft. 14 de abril de 2022 [consultado 20-04-2022]. Disponible en: https://research.checkpoint.com/2022/check-point-research-detects-vulnerability-in-the-rarible-nft-marketplace-preventing-risk-of-account-take-over-and-cryptocurrency-theft/
05. CHECKPOINT RESEARCH. Check Point Software’s 2022 Security Report: Global Cyber Pandemic’s Magnitude Revealed. 2022 [consultado 20-04-2022]. Disponible en: https://pages.checkpoint.com/cyber-security-report-2022.html
06. DETOX TECHNOLOGIES. Security Risks Associated With Metaverse In 2022. 2022 [consultado 22-04-2022]. Disponible en: https://www.detoxtechnologies.com/security-risks-associated-with-metaverse/
07. CIBERSEGURIDAD PYME. El metaverso demandará más expertos en ciberseguridad. 05 de enero de 2022 [consultado 22-04-2022]. Disponible en: https://www.ciberseguridadpyme.es/actualidad/metaverso-y-ciberseguridad/
08. XRSI. Research & Standards. 2022 [consultado 22-04-2022]. Disponible en: https://xrsi.org/research-standards
09. XATAKA. Este Jensen Huang no es real, es virtual: así nos engañó a todos NVIDIA durante 14 segundos con un deepfake espectacular. 13 de agosto de 2021 [consultado 22-04-2022]. Disponible en: https://www.xataka.com/robotica-e-ia/este-jensen-huang-no-real-virtual-asi-nos-engano-a-todos-nvidia-durante-14-segundos-deepfake-espectacular
10. BENEFITS PRO. Cybersecurity in the metaverse is like the Wild West, attorneys warn firms. 05 de abril de 2022 [consultado 22-04-2022]. Disponible en: https://www.benefitspro.com/2022/04/05/cybersecurity-in-metaverse-like-the-wild-west-attorneys-warn-412-128557/?slreturn=20220325025422
11. FORTUNE. The metaverse gets its first personal injury lawyer. 13 de diciembre de 2021. [consultado 22-04-2022]. Disponible en: https://fortune.com/2021/12/13/metaverse-personal-injury-lawyer/