La malicia en el metaverso: luchar contra las ciberamenazas conocidas en una nueva frontera
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
La llegada del favorito digital del momento, el metaverso, añade una nueva y vasta superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social. Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
%20(1).avif)
.avif)
