La malicia en el metaverso: luchar contra las ciberamenazas conocidas en una nueva frontera
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
La llegada del favorito digital del momento, el metaverso, añade una nueva y vasta superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social. Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Tabla de contenido
Director General, Presidente y Cofundador
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
