La malicia en el metaverso: luchar contra las ciberamenazas conocidas en una nueva frontera
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
La llegada del favorito digital del momento, el metaverso, añade una nueva y vasta superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social. Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
%20(1).avif)
.avif)
