19 feb 2023

Amenazas y problemas de seguridad y privacidad del metaverso (2 de 2)

A medida que nuestras vidas se integran más en el metaverso, debemos ser conscientes de las amenazas a la seguridad y la privacidad y tomar precauciones tal como lo haríamos en el mundo físico. Además, desde una perspectiva de desarrollo, la invasión a la privacidad y las brechas de seguridad amenazan una mayor expansión e implementación del metaverso.

En el primer post se analizaron algunos problemas de seguridad y privacidad y aquí se continúa con los mismos.

3. Amenazas relacionados con la privacidad

La ubicación, el hábito y el estilo de vida de un usuario pueden ser afectados durante el ciclo de vida del servicio de datos. Esto incluye la percepción, transmisión, procesamiento, gobierno o almacenamiento de los mismos.

Recopilación generalizada de datos

Las expresiones faciales, el movimiento de ojos/manos, el habla, las características biométricas y los patrones de ondas cerebrales se perfilan en la creación del avatar de un usuario. Los sensores de movimiento y las cuatro cámaras integradas en los auriculares Oculus, por ejemplo, pueden rastrear nuestro entorno y pueden ser explotados por atacantes.

Fuga de privacidad en la transmisión de datos

Los datos confidenciales del usuario recopilados por los dispositivos de Extended Reality (XR), como los auriculares y Oculus, se transfieren a través de la comunicación por cable e inalámbrica. Aunque estos datos confidenciales están cifrados, los atacantes aún pueden acceder a los datos sin procesar a través de escuchas a través de diferentes canales. Los ataques diferenciales y los ataques de inferencia avanzada se utilizan para rastrear la ubicación de un usuario.

Fuga de privacidad en el procesamiento de datos

La agregación y el procesamiento de datos de los usuarios y sus entornos son necesarios para la creación y representación de avatares y estos datos pueden filtrarse. Los datos privados pertenecientes a diferentes usuarios pueden infringir normativas como el Reglamento General de Protección de Datos (RGPD). Los atacantes también pueden inferir la privacidad y las preferencias de un usuario a partir de los resultados de procesamiento publicados (avatares).

Fuga de privacidad en almacenamiento en la nube/Edge

El almacenamiento de información confidencial de los usuarios en servidores en la nube o dispositivos perimetrales plantea problemas de divulgación de privacidad. Los delincuentes informáticos pueden determinar la información de privacidad de los usuarios mediante consultas frecuentes mediante ataques diferenciales o comprometer el almacenamiento en la nube en su totalidad a través de ataques DDoS.

Acceso a datos no autorizado

Diferentes proveedores de servicios a través de los sub-metaversos necesitan acceder a la actividad del usuario en tiempo real para brindar servicios personalizados sin problemas, como la creación de avatares. Los proveedores de servicios maliciosos pueden elevar ilegalmente sus permisos de acceso a los datos mediante el desbordamiento del búfer, la manipulación del acceso en las listas de control y otras vulnerabilidades conocidas.

Uso indebido de datos de usuario/avatar

Durante el ciclo de vida del servicio de datos, los delincuentes pueden revelar los datos de los usuarios de forma intencionada o los proveedores de servicios pueden revelarlos de forma no intencionada para ayudar a la creación de perfiles de usuarios y las actividades de marketing de precisión.

Amenazas a las huellas digitales

Las huellas digitales consisten en preferencias, hábitos y actividades de avatares que pueden reflejar al usuario final en el mundo real. Los atacantes pueden usar estas huellas para explotar a los usuarios del mundo real. Los usuarios también pueden ser acechados sin su conocimiento gracias a la amplia vista en tercera persona que normalmente se usa en el metaverso, y sus preferencias de usuario se pueden usar más adelante en ataques de ingeniería social.

Amenazas a la rendición de cuentas

Dado que los dispositivos XR recopilan muchos más datos que los dispositivos inteligentes tradicionales, el metaverso debe ser responsable de cumplir con el cumplimiento de la privacidad. Sin embargo, el proceso de auditoría del cumplimiento de las normas de privacidad (como el RGPD) es ineficiente bajo la arquitectura de oferta de servicios centralizados. Tampoco pueden garantizar la transparencia del cumplimiento de la normativa durante el ciclo de vida de la gestión de datos.

4. Amenazas relacionadas con la red

Las amenazas tradicionales todavía existen en el metaverso, ya que todavía utiliza Internet actual y las tecnologías inalámbricas existentes. Las amenazas más comunes incluyen ataques SPoF, DDoS y Sybil.

SPoF

La arquitectura centralizada, como el sistema basado en la nube que se usa en la creación de metaversos, es conveniente y ahorra costos. Sin embargo, puede ser vulnerable al punto único de falla (Single Point of Failure - SPoF) por daños a los servidores raíz físicos o ataques DDoS. También dificulta el libre intercambio de tokens o moneda virtual en diferentes mundos.

DDoS

Los delincuentes informáticos pueden explotar las botnets de IoT compuestas por muchos dispositivos para realizar ataques de Denegación de Servicio Distribuido (DDoS). Al sobrecargar el servidor centralizado con cantidades masivas de tráfico, pueden provocar la falta de disponibilidad del servicio y cortes en la red.

Ataques Sybil

En un ataque Sybil se manipulan muchas identidades robadas para obtener una influencia desproporcionadamente grande en los servicios del metaverso, como los servicios basados en la reputación y la votación. Estos ataques comprometen la efectividad del sistema.

Amenazas relacionadas con la economía

La confianza en el servicio, la propiedad de activos digitales y la equidad económica en el metaverso corren varios tipos de riesgos que se describen a continuación.

Problemas de confianza del servicio en el comercio de objetos virtuales

Los riesgos de fraude inherentes, como el repudio y la negativa a pagar durante el comercio de objetos virtuales, pueden generar una desconfianza dentro del mercado del metaverso. A través de la creación de objetos digitales a través del gemelo digital, el metaverso debe garantizar la autenticidad y confiabilidad de las copias digitales desplegadas.

Amenazas a la propiedad de activos digitales

La falta de autoridad central, además de formas complejas de circulación y propiedad, dificultan la generación, la fijación de precios, el comercio confiable y la trazabilidad de la propiedad de los activos digitales en la economía comercial. Esto incluye tanto la propiedad colectiva como la propiedad compartida.

Amenazas a la equidad económica en la economía del creador

Los incentivos bien diseñados promueven la eficiencia y la equidad en el intercambio de recursos y el comercio de activos digitales en la economía creadora. Tres factores ponen en riesgo esta equidad:

  1. Los usuarios/avatares estratégicos pueden manipular el mercado digital para romper el estado de la oferta y la demanda y obtener enormes ganancias.
  2. Los usuarios/avatares que se aprovechan de forma gratuita obtienen ingresos de manera injusta y utilizan los servicios del metaverso sin aportar nada ellos mismos, lo que posteriormente pone en riesgo la sostenibilidad de la economía del creador.
  3. Los usuarios/avatares colusorios pueden coludirse entre sí o con un proveedor de servicios para manipular el mercado y obtener ganancias.

Amenazas al Mundo Físico y la Sociedad Humana

El metaverso es una extensión del sistema ciber-físico-social (Cyber-Physical-Social System - CPSS), donde los sistemas físicos, la sociedad humana y los sistemas cibernéticos están interconectados. Por lo tanto, las amenazas de seguridad y privacidad del metaverso en el mundo digital se cruzan con la seguridad personal, la infraestructura física y la sociedad humana.

Amenazas a la seguridad personal

Los delincuentes informáticos pueden atacar dispositivos portátiles y sensores interiores, como cámaras, para observar la rutina y la posición física de los usuarios para orquestar robos. También pueden mostrar contenido aterrador para el usuario final que puede causar daño físico.

Amenazas a la seguridad de la infraestructura

Los delincuentes pueden detectar las vulnerabilidades del software o del sistema y luego explotar los dispositivos comprometidos como puntos de entrada para invadir infraestructuras nacionales como la red eléctrica o el tren de alta velocidad a través de ataques de amenazas persistentes avanzadas (APT).

Efectos sociales

La adicción del usuario, la prevención de rumores, los resultados sesgados y los hechos simulados son amenazas inherentes a esta tecnología emergente. Similar a las películas de Matrix, el metaverso está controlado por algoritmos de IA donde el código es la ley definitiva. Posteriormente, pueden ocurrir problemas éticos como prejuicios raciales y de género.

Amenazas relacionadas con la gobernanza

Al igual que las normas sociales en el mundo real, la creación de contenido, el procesamiento de datos y la economía virtual deben reflejar las normas y regulaciones digitales. Sin embargo, las siguientes amenazas de seguridad y privacidad del metaverso pueden amenazar la eficiencia y la seguridad del sistema.

Reguladores que se portan mal

Los reguladores deshonestos pueden provocar la parálisis del sistema y sus supervisores también deben ser observados. Se deben utilizar mecanismos dinámicos de castigo/recompensa para castigar a estos reguladores y recompensar a sus contrapartes respetuosas de la ley. Los estándares de castigo y recompensa deben ser mantenidos por la mayoría de los avatares de manera descentralizada y democrática para mantener la sostenibilidad.

Amenazas a la Gobernanza Colaborativa

La gobernanza colaborativa bajo un modo jerárquico o plano es mejor para el mantenimiento de metaversos a gran escala para evitar la concentración de derechos de regulación. Los reguladores deshonestos aún pueden socavar este sistema, por ejemplo, dividiendo un regulador específico de la red mediante ataques de agujeros de gusano.

Amenazas a la ciencia forense digital

El análisis forense digital se define como la reconstrucción virtual de delitos cibernéticos mediante la identificación, extracción, fusión y análisis de pruebas tanto del mundo real como del virtual. Sin embargo, los problemas de dinámica e interoperabilidad entre mundos dificultan la investigación forense eficiente. Además, el mundo real y el digital se pueden desdibujar con frecuencia, por ejemplo, a través de innovaciones emergentes como la tecnología deepfake.

Fuente: Identity Management Institute

Suscríbete a nuestro Boletín

1 comentario:

  1. El enlace desde el primer artículo está roto. Un saludo y mucho ánimo, genial este aporte.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!