Malicia en el metaverso: La lucha contra las ciberamenazas conocidas en una nueva frontera
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y sindicado aquí.
Hace unos años, hablábamos mucho de que la ciberseguridad es el Salvaje Oeste, y que había una necesidad desesperada de que más gente se preocupara por ella en general, por no mencionar el riesgo muy real para la vida que podían suponer muchos ciberataques.
Si avanzamos hasta 2023, es agradable ver que se han hecho algunos progresos, especialmente a nivel gubernamental en muchos países influyentes. Para nosotros, sin embargo, el camino hacia un código realmente seguro y un software más seguro no tiene fin. La aparición del metaverso, el fenómeno digital del momento, añade una nueva y enorme superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
La realidad mixta conlleva un mayor riesgo
A pesar de su actual condición de Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma en línea Second Life existe desde 2003 y da servicio a un nicho fiel con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan mediante chat de voz y texto, se puede jugar y empresas como Adidas ofrecen tiendas virtuales oficiales. En el ámbito puramente lúdico, los juegos multijugador masivos en línea (MMO) como Fortnite y World of Warcraft ofrecen mundos extensos a sus jugadores y dependen cada vez más de las microtransacciones, es decir, de desembolsar dinero real por objetos virtuales. Solo Fortnite obtuvo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no sólo ha llegado para quedarse, sino que también está a punto de recibir un empujón del tamaño de Mark Zuckerberg en la corriente principal. Se trata de una evolución apasionante de Internet -o al menos de las redes sociales y parte del comercio electrónico- tal y como la conocemos, pero la posibilidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y va mucho más allá del software basado en web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también suponen una amenaza para los datos esenciales, ya que el software integrado en esos dispositivos es una alfombra roja muy cómoda para llegar a la cima si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron a principios de este año "Face-Mic", el primer estudio de este tipo que examina cómo las funciones de comandos de voz de los cascos de realidad virtual podrían dar lugar a graves violaciones de la privacidad, conocidas como "ataques de escucha". El trabajo es fascinante, ya que muestra que los actores de amenazas podrían utilizar algunos cascos de realidad virtual (AR/VR) con sensores de movimiento incorporados para grabar gestos faciales asociados a la voz, lo que conduciría al posible robo de información sensible comunicada a través de controles activados por voz, incluidos datos de tarjetas de crédito y contraseñas. La raíz del problema parece ser la falta de autenticación del usuario. Dado que el acelerómetro y el giroscopio no requieren ningún permiso de acceso, los intrincados movimientos faciales, las vibraciones transmitidas por los huesos y las transmitidas por el aire podrían registrarse y utilizarse para deducir desde PIN bancarios hasta registros sanitarios muy restringidos, en función de los patrones del usuario.
En el metaverso, cada movimiento que haces es un punto de datos, y si el acceso a ellos es posible a través de una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptodivisas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, se utilizan contratos inteligentes almacenados en la cadena de bloques.
Al mencionar "cadena de bloques", la mayoría de la gente normal (con un poco de conocimientos tecnológicos) lo entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son una excepción. Son esencialmente pequeños programas, y pueden ser pirateados.
Los contratos inteligentes son susceptibles de ser explotados gracias a unas cuantas vulnerabilidades bastante comunes, a saber, desbordamiento y subdesbordamiento de enteros, ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que conduce a ataques de reentrada, el último de los cuales puede llevar a que un usuario se quede sin su saldo de criptomonedas almacenado. Todos estos ataques son posibles gracias a patrones de codificación deficientes que conducen a vulnerabilidades explotables y a fundamentos de diseño inseguros.
Esta tecnología se utilizará cada vez más, pero tal y como están las cosas hoy en día, nos va a costar encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, sobre todo si están en juego datos y divisas... y es difícil imaginar un escenario en el que no sea así.
Es un entorno no regulado, y tú eres (todavía) el producto
Como hemos visto en el cine, la televisión, Second Life y los videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades sólo están limitadas por tu imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, el inconveniente es que, a la escala planeada para algo como Meta, es demasiado vasto y descentralizado como para controlarlo de forma que sea hermético desde el punto de vista de la seguridad. Las estafas serán inevitables y los delincuentes cualificados tendrán aún más trabajo desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, siempre que la adopción prevista vaya según lo previsto. Aunque cabe suponer que los programas informáticos relacionados con el metaverso cumplirán las normas reglamentarias y las medidas de conformidad vigentes, será necesario actualizarlos para que sean compatibles con un universo digital en rápida expansión y su economía. Para ello será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de madurez de seguridad interna que garantice que todas las personas que trabajan en el software piensen en la seguridad y la apliquen en cada paso de su proceso, especialmente en la cohorte de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea galopar por una dimensión digital sin ley, representado por un avatar que es todo lo que desearías ser en el mundo real, nunca debemos olvidar que detrás de cada "personaje" hay un ser humano. Y cuando están en juego los datos y las finanzas de personas reales, la cosa está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una ocurrencia tardía si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificarlo ahora haciendo un análisis realista de su madurez en materia de seguridad en assessment , haciendo hincapié en la mejora de los conocimientos de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso no es más que una potente vulnerabilidad que puede dar lugar a una fuga de datos generalizada, y los desarrolladores conscientes de la seguridad estarían mucho mejor situados para sortear estos problemas a medida que se escribe el código, y mucho antes de que entren en el código comprometido.
Apoyarse en la excusa de la escasez de competencias en ciberseguridad no va a funcionar después de una importante violación de datos en el metaverso, y tenemos las herramientas a nuestro alcance no sólo para hacerlo lo mejor que podamos, sino para elevar activamente los estándares de seguridad del software para siempre. Ahora es el momento de invertir en la formación de los arquitectos del metaverso y cosechar los beneficios de una reimaginación virtual de los productos y servicios tal y como los conocemos.
La aparición del metaverso, el fenómeno digital del momento, añade una nueva y enorme superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social. Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y sindicado aquí.
Hace unos años, hablábamos mucho de que la ciberseguridad es el Salvaje Oeste, y que había una necesidad desesperada de que más gente se preocupara por ella en general, por no mencionar el riesgo muy real para la vida que podían suponer muchos ciberataques.
Si avanzamos hasta 2023, es agradable ver que se han hecho algunos progresos, especialmente a nivel gubernamental en muchos países influyentes. Para nosotros, sin embargo, el camino hacia un código realmente seguro y un software más seguro no tiene fin. La aparición del metaverso, el fenómeno digital del momento, añade una nueva y enorme superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
La realidad mixta conlleva un mayor riesgo
A pesar de su actual condición de Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma en línea Second Life existe desde 2003 y da servicio a un nicho fiel con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan mediante chat de voz y texto, se puede jugar y empresas como Adidas ofrecen tiendas virtuales oficiales. En el ámbito puramente lúdico, los juegos multijugador masivos en línea (MMO) como Fortnite y World of Warcraft ofrecen mundos extensos a sus jugadores y dependen cada vez más de las microtransacciones, es decir, de desembolsar dinero real por objetos virtuales. Solo Fortnite obtuvo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no sólo ha llegado para quedarse, sino que también está a punto de recibir un empujón del tamaño de Mark Zuckerberg en la corriente principal. Se trata de una evolución apasionante de Internet -o al menos de las redes sociales y parte del comercio electrónico- tal y como la conocemos, pero la posibilidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y va mucho más allá del software basado en web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también suponen una amenaza para los datos esenciales, ya que el software integrado en esos dispositivos es una alfombra roja muy cómoda para llegar a la cima si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron a principios de este año "Face-Mic", el primer estudio de este tipo que examina cómo las funciones de comandos de voz de los cascos de realidad virtual podrían dar lugar a graves violaciones de la privacidad, conocidas como "ataques de escucha". El trabajo es fascinante, ya que muestra que los actores de amenazas podrían utilizar algunos cascos de realidad virtual (AR/VR) con sensores de movimiento incorporados para grabar gestos faciales asociados a la voz, lo que conduciría al posible robo de información sensible comunicada a través de controles activados por voz, incluidos datos de tarjetas de crédito y contraseñas. La raíz del problema parece ser la falta de autenticación del usuario. Dado que el acelerómetro y el giroscopio no requieren ningún permiso de acceso, los intrincados movimientos faciales, las vibraciones transmitidas por los huesos y las transmitidas por el aire podrían registrarse y utilizarse para deducir desde PIN bancarios hasta registros sanitarios muy restringidos, en función de los patrones del usuario.
En el metaverso, cada movimiento que haces es un punto de datos, y si el acceso a ellos es posible a través de una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptodivisas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, se utilizan contratos inteligentes almacenados en la cadena de bloques.
Al mencionar "cadena de bloques", la mayoría de la gente normal (con un poco de conocimientos tecnológicos) lo entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son una excepción. Son esencialmente pequeños programas, y pueden ser pirateados.
Los contratos inteligentes son susceptibles de ser explotados gracias a unas cuantas vulnerabilidades bastante comunes, a saber, desbordamiento y subdesbordamiento de enteros, ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que conduce a ataques de reentrada, el último de los cuales puede llevar a que un usuario se quede sin su saldo de criptomonedas almacenado. Todos estos ataques son posibles gracias a patrones de codificación deficientes que conducen a vulnerabilidades explotables y a fundamentos de diseño inseguros.
Esta tecnología se utilizará cada vez más, pero tal y como están las cosas hoy en día, nos va a costar encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, sobre todo si están en juego datos y divisas... y es difícil imaginar un escenario en el que no sea así.
Es un entorno no regulado, y tú eres (todavía) el producto
Como hemos visto en el cine, la televisión, Second Life y los videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades sólo están limitadas por tu imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, el inconveniente es que, a la escala planeada para algo como Meta, es demasiado vasto y descentralizado como para controlarlo de forma que sea hermético desde el punto de vista de la seguridad. Las estafas serán inevitables y los delincuentes cualificados tendrán aún más trabajo desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, siempre que la adopción prevista vaya según lo previsto. Aunque cabe suponer que los programas informáticos relacionados con el metaverso cumplirán las normas reglamentarias y las medidas de conformidad vigentes, será necesario actualizarlos para que sean compatibles con un universo digital en rápida expansión y su economía. Para ello será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de madurez de seguridad interna que garantice que todas las personas que trabajan en el software piensen en la seguridad y la apliquen en cada paso de su proceso, especialmente en la cohorte de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea galopar por una dimensión digital sin ley, representado por un avatar que es todo lo que desearías ser en el mundo real, nunca debemos olvidar que detrás de cada "personaje" hay un ser humano. Y cuando están en juego los datos y las finanzas de personas reales, la cosa está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una ocurrencia tardía si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificarlo ahora haciendo un análisis realista de su madurez en materia de seguridad en assessment , haciendo hincapié en la mejora de los conocimientos de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso no es más que una potente vulnerabilidad que puede dar lugar a una fuga de datos generalizada, y los desarrolladores conscientes de la seguridad estarían mucho mejor situados para sortear estos problemas a medida que se escribe el código, y mucho antes de que entren en el código comprometido.
Apoyarse en la excusa de la escasez de competencias en ciberseguridad no va a funcionar después de una importante violación de datos en el metaverso, y tenemos las herramientas a nuestro alcance no sólo para hacerlo lo mejor que podamos, sino para elevar activamente los estándares de seguridad del software para siempre. Ahora es el momento de invertir en la formación de los arquitectos del metaverso y cosechar los beneficios de una reimaginación virtual de los productos y servicios tal y como los conocemos.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y sindicado aquí.
Hace unos años, hablábamos mucho de que la ciberseguridad es el Salvaje Oeste, y que había una necesidad desesperada de que más gente se preocupara por ella en general, por no mencionar el riesgo muy real para la vida que podían suponer muchos ciberataques.
Si avanzamos hasta 2023, es agradable ver que se han hecho algunos progresos, especialmente a nivel gubernamental en muchos países influyentes. Para nosotros, sin embargo, el camino hacia un código realmente seguro y un software más seguro no tiene fin. La aparición del metaverso, el fenómeno digital del momento, añade una nueva y enorme superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
La realidad mixta conlleva un mayor riesgo
A pesar de su actual condición de Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma en línea Second Life existe desde 2003 y da servicio a un nicho fiel con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan mediante chat de voz y texto, se puede jugar y empresas como Adidas ofrecen tiendas virtuales oficiales. En el ámbito puramente lúdico, los juegos multijugador masivos en línea (MMO) como Fortnite y World of Warcraft ofrecen mundos extensos a sus jugadores y dependen cada vez más de las microtransacciones, es decir, de desembolsar dinero real por objetos virtuales. Solo Fortnite obtuvo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no sólo ha llegado para quedarse, sino que también está a punto de recibir un empujón del tamaño de Mark Zuckerberg en la corriente principal. Se trata de una evolución apasionante de Internet -o al menos de las redes sociales y parte del comercio electrónico- tal y como la conocemos, pero la posibilidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y va mucho más allá del software basado en web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también suponen una amenaza para los datos esenciales, ya que el software integrado en esos dispositivos es una alfombra roja muy cómoda para llegar a la cima si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron a principios de este año "Face-Mic", el primer estudio de este tipo que examina cómo las funciones de comandos de voz de los cascos de realidad virtual podrían dar lugar a graves violaciones de la privacidad, conocidas como "ataques de escucha". El trabajo es fascinante, ya que muestra que los actores de amenazas podrían utilizar algunos cascos de realidad virtual (AR/VR) con sensores de movimiento incorporados para grabar gestos faciales asociados a la voz, lo que conduciría al posible robo de información sensible comunicada a través de controles activados por voz, incluidos datos de tarjetas de crédito y contraseñas. La raíz del problema parece ser la falta de autenticación del usuario. Dado que el acelerómetro y el giroscopio no requieren ningún permiso de acceso, los intrincados movimientos faciales, las vibraciones transmitidas por los huesos y las transmitidas por el aire podrían registrarse y utilizarse para deducir desde PIN bancarios hasta registros sanitarios muy restringidos, en función de los patrones del usuario.
En el metaverso, cada movimiento que haces es un punto de datos, y si el acceso a ellos es posible a través de una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptodivisas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, se utilizan contratos inteligentes almacenados en la cadena de bloques.
Al mencionar "cadena de bloques", la mayoría de la gente normal (con un poco de conocimientos tecnológicos) lo entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son una excepción. Son esencialmente pequeños programas, y pueden ser pirateados.
Los contratos inteligentes son susceptibles de ser explotados gracias a unas cuantas vulnerabilidades bastante comunes, a saber, desbordamiento y subdesbordamiento de enteros, ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que conduce a ataques de reentrada, el último de los cuales puede llevar a que un usuario se quede sin su saldo de criptomonedas almacenado. Todos estos ataques son posibles gracias a patrones de codificación deficientes que conducen a vulnerabilidades explotables y a fundamentos de diseño inseguros.
Esta tecnología se utilizará cada vez más, pero tal y como están las cosas hoy en día, nos va a costar encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, sobre todo si están en juego datos y divisas... y es difícil imaginar un escenario en el que no sea así.
Es un entorno no regulado, y tú eres (todavía) el producto
Como hemos visto en el cine, la televisión, Second Life y los videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades sólo están limitadas por tu imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, el inconveniente es que, a la escala planeada para algo como Meta, es demasiado vasto y descentralizado como para controlarlo de forma que sea hermético desde el punto de vista de la seguridad. Las estafas serán inevitables y los delincuentes cualificados tendrán aún más trabajo desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, siempre que la adopción prevista vaya según lo previsto. Aunque cabe suponer que los programas informáticos relacionados con el metaverso cumplirán las normas reglamentarias y las medidas de conformidad vigentes, será necesario actualizarlos para que sean compatibles con un universo digital en rápida expansión y su economía. Para ello será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de madurez de seguridad interna que garantice que todas las personas que trabajan en el software piensen en la seguridad y la apliquen en cada paso de su proceso, especialmente en la cohorte de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea galopar por una dimensión digital sin ley, representado por un avatar que es todo lo que desearías ser en el mundo real, nunca debemos olvidar que detrás de cada "personaje" hay un ser humano. Y cuando están en juego los datos y las finanzas de personas reales, la cosa está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una ocurrencia tardía si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificarlo ahora haciendo un análisis realista de su madurez en materia de seguridad en assessment , haciendo hincapié en la mejora de los conocimientos de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso no es más que una potente vulnerabilidad que puede dar lugar a una fuga de datos generalizada, y los desarrolladores conscientes de la seguridad estarían mucho mejor situados para sortear estos problemas a medida que se escribe el código, y mucho antes de que entren en el código comprometido.
Apoyarse en la excusa de la escasez de competencias en ciberseguridad no va a funcionar después de una importante violación de datos en el metaverso, y tenemos las herramientas a nuestro alcance no sólo para hacerlo lo mejor que podamos, sino para elevar activamente los estándares de seguridad del software para siempre. Ahora es el momento de invertir en la formación de los arquitectos del metaverso y cosechar los beneficios de una reimaginación virtual de los productos y servicios tal y como los conocemos.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y sindicado aquí.
Hace unos años, hablábamos mucho de que la ciberseguridad es el Salvaje Oeste, y que había una necesidad desesperada de que más gente se preocupara por ella en general, por no mencionar el riesgo muy real para la vida que podían suponer muchos ciberataques.
Si avanzamos hasta 2023, es agradable ver que se han hecho algunos progresos, especialmente a nivel gubernamental en muchos países influyentes. Para nosotros, sin embargo, el camino hacia un código realmente seguro y un software más seguro no tiene fin. La aparición del metaverso, el fenómeno digital del momento, añade una nueva y enorme superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
La realidad mixta conlleva un mayor riesgo
A pesar de su actual condición de Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma en línea Second Life existe desde 2003 y da servicio a un nicho fiel con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan mediante chat de voz y texto, se puede jugar y empresas como Adidas ofrecen tiendas virtuales oficiales. En el ámbito puramente lúdico, los juegos multijugador masivos en línea (MMO) como Fortnite y World of Warcraft ofrecen mundos extensos a sus jugadores y dependen cada vez más de las microtransacciones, es decir, de desembolsar dinero real por objetos virtuales. Solo Fortnite obtuvo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no sólo ha llegado para quedarse, sino que también está a punto de recibir un empujón del tamaño de Mark Zuckerberg en la corriente principal. Se trata de una evolución apasionante de Internet -o al menos de las redes sociales y parte del comercio electrónico- tal y como la conocemos, pero la posibilidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y va mucho más allá del software basado en web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también suponen una amenaza para los datos esenciales, ya que el software integrado en esos dispositivos es una alfombra roja muy cómoda para llegar a la cima si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron a principios de este año "Face-Mic", el primer estudio de este tipo que examina cómo las funciones de comandos de voz de los cascos de realidad virtual podrían dar lugar a graves violaciones de la privacidad, conocidas como "ataques de escucha". El trabajo es fascinante, ya que muestra que los actores de amenazas podrían utilizar algunos cascos de realidad virtual (AR/VR) con sensores de movimiento incorporados para grabar gestos faciales asociados a la voz, lo que conduciría al posible robo de información sensible comunicada a través de controles activados por voz, incluidos datos de tarjetas de crédito y contraseñas. La raíz del problema parece ser la falta de autenticación del usuario. Dado que el acelerómetro y el giroscopio no requieren ningún permiso de acceso, los intrincados movimientos faciales, las vibraciones transmitidas por los huesos y las transmitidas por el aire podrían registrarse y utilizarse para deducir desde PIN bancarios hasta registros sanitarios muy restringidos, en función de los patrones del usuario.
En el metaverso, cada movimiento que haces es un punto de datos, y si el acceso a ellos es posible a través de una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptodivisas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, se utilizan contratos inteligentes almacenados en la cadena de bloques.
Al mencionar "cadena de bloques", la mayoría de la gente normal (con un poco de conocimientos tecnológicos) lo entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son una excepción. Son esencialmente pequeños programas, y pueden ser pirateados.
Los contratos inteligentes son susceptibles de ser explotados gracias a unas cuantas vulnerabilidades bastante comunes, a saber, desbordamiento y subdesbordamiento de enteros, ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que conduce a ataques de reentrada, el último de los cuales puede llevar a que un usuario se quede sin su saldo de criptomonedas almacenado. Todos estos ataques son posibles gracias a patrones de codificación deficientes que conducen a vulnerabilidades explotables y a fundamentos de diseño inseguros.
Esta tecnología se utilizará cada vez más, pero tal y como están las cosas hoy en día, nos va a costar encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, sobre todo si están en juego datos y divisas... y es difícil imaginar un escenario en el que no sea así.
Es un entorno no regulado, y tú eres (todavía) el producto
Como hemos visto en el cine, la televisión, Second Life y los videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades sólo están limitadas por tu imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, el inconveniente es que, a la escala planeada para algo como Meta, es demasiado vasto y descentralizado como para controlarlo de forma que sea hermético desde el punto de vista de la seguridad. Las estafas serán inevitables y los delincuentes cualificados tendrán aún más trabajo desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, siempre que la adopción prevista vaya según lo previsto. Aunque cabe suponer que los programas informáticos relacionados con el metaverso cumplirán las normas reglamentarias y las medidas de conformidad vigentes, será necesario actualizarlos para que sean compatibles con un universo digital en rápida expansión y su economía. Para ello será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de madurez de seguridad interna que garantice que todas las personas que trabajan en el software piensen en la seguridad y la apliquen en cada paso de su proceso, especialmente en la cohorte de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea galopar por una dimensión digital sin ley, representado por un avatar que es todo lo que desearías ser en el mundo real, nunca debemos olvidar que detrás de cada "personaje" hay un ser humano. Y cuando están en juego los datos y las finanzas de personas reales, la cosa está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una ocurrencia tardía si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificarlo ahora haciendo un análisis realista de su madurez en materia de seguridad en assessment , haciendo hincapié en la mejora de los conocimientos de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso no es más que una potente vulnerabilidad que puede dar lugar a una fuga de datos generalizada, y los desarrolladores conscientes de la seguridad estarían mucho mejor situados para sortear estos problemas a medida que se escribe el código, y mucho antes de que entren en el código comprometido.
Apoyarse en la excusa de la escasez de competencias en ciberseguridad no va a funcionar después de una importante violación de datos en el metaverso, y tenemos las herramientas a nuestro alcance no sólo para hacerlo lo mejor que podamos, sino para elevar activamente los estándares de seguridad del software para siempre. Ahora es el momento de invertir en la formación de los arquitectos del metaverso y cosechar los beneficios de una reimaginación virtual de los productos y servicios tal y como los conocemos.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
