La malicia en el metaverso: luchar contra las ciberamenazas conocidas en una nueva frontera
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
La llegada del favorito digital del momento, el metaverso, añade una nueva y vasta superficie de ataque tanto para las vulnerabilidades a nivel de código como para la ingeniería social. Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre de humo y espejos.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Revista Infosecurity. Se ha actualizado y distribuido aquí.
UN hace unos años, hablamos mucho sobre cómo la ciberseguridad es el Lejano Oeste y había una necesidad desesperada de que más personas se preocuparan por ella en general, sin mencionar el riesgo muy real para la vida que podían representar muchos ciberataques.
Si avanzamos rápidamente hasta 2023, es agradable ver que se han logrado algunos avances, especialmente a nivel gubernamental de muchas naciones influyentes. Sin embargo, para nosotros, el camino hacia un código verdaderamente seguro y un software más seguro no tiene fin. La llegada de la tecnología digital favorita del momento, el metaverso, añade una nueva y enorme superficie de ataque, tanto para las vulnerabilidades a nivel de código como para la ingeniería social.
Y simplemente no estamos preparados para la batalla en este nuevo campo de juego que se nutre del humo y los espejos.
La realidad mixta conlleva un riesgo intensificado
A pesar de su estatus actual como Sabor del Mes, el concepto de metaverso existe desde hace mucho tiempo. La plataforma online Second Life existe desde 2003, sirviendo a un nicho leal con un universo en línea totalmente personalizable en el que los avatares de los usuarios interactúan a través del chat de voz y texto, se pueden jugar juegos y compañías como Adidas ofrecen tiendas virtuales oficiales. Desde el punto de vista puramente lúdico, los juegos multijugador masivos en línea (MMO), como Fortnite y World of Warcraft, ofrecen a sus jugadores mundos expansivos y dependen cada vez más de las microtransacciones o del desembolso de dinero real para comprar objetos virtuales. Fortnite fue creado por sí solo 4.300 millones de dólares en ingresos por microtransacciones en sus dos primeros años en el mercado.
Está muy claro que el concepto de metaverso no solo llegó para quedarse, sino que también está a punto de tener un tamaño similar al de Mark Zuckerberg entrar en la corriente principal. Se trata de una evolución emocionante de Internet (o al menos de las redes sociales y parte del comercio electrónico) tal como la conocemos, pero la oportunidad de que se produzcan ciberataques y exploits dañinos es alucinante.
La superficie de ataque del metaverso es de gran alcance y se extiende mucho más allá del software basado en la web, las API y las pasarelas de pago. Los elementos periféricos de los cascos y accesorios de realidad virtual también representan una amenaza para los datos básicos, ya que el software integrado en esos dispositivos es una alfombra roja muy práctica para pagar si son vulnerables.
Investigadores de seguridad de la Universidad de Rutgers revelaron»Micrófono facial» a principios de este año, el primer estudio de este tipo que examina cómo las funciones de comando de voz de los cascos de realidad virtual podrían provocar graves violaciones de la privacidad, conocidas como «ataques de escucha clandestina». El trabajo es fascinante, pues demuestra que los atacantes podrían utilizar unos cascos de realidad virtual (AR/VR) con sensores de movimiento integrados para grabar gestos faciales relacionados con el habla, lo que podría provocar el robo de información confidencial comunicada mediante controles activados por voz, como la información de las tarjetas de crédito y las contraseñas. La causa principal del problema parece ser la falta de autenticación de los usuarios. Dado que no se requiere ningún permiso para acceder al acelerómetro y al giroscopio, se pueden registrar los movimientos faciales intrincados, las vibraciones transmitidas por los huesos y las vibraciones transportadas por el aire y utilizarlos para deducir todo tipo de datos, desde números PIN bancarios hasta historiales médicos altamente restringidos, según los patrones del usuario.
En el metaverso, cada movimiento que realizas es un punto de datos, y si es posible acceder a él gracias a una seguridad de software laxa, el incentivo para que los atacantes prueben suerte es enorme.
Los contratos inteligentes se enfrentan a adversarios (más) inteligentes
La metaeconomía exige descentralización, desmaterialización, flexibilidad y, por supuesto, seguridad sin concesiones. En este momento, hay microeconomías metaversas en crecimiento en varias comunidades de criptomonedas, como Shiba Inu. Para comprar bienes inmuebles virtuales y otros productos intangibles, contratos inteligentes se utilizan los almacenados en la cadena de bloques.
Menciona la «cadena de bloques» y la mayoría de la gente común (con un poco de conocimiento de la tecnología) la entiende como un sistema seguro y anónimo para lo que se considera el futuro de la moneda digital. Sin embargo, hay un pequeño problema con eso: ninguna fortaleza en línea es impenetrable, y esos contratos inteligentes no son la excepción. Son esencialmente pequeños programas y pueden ser pirateados.
Los contratos inteligentes son susceptibles de explotación gracias a algunas vulnerabilidades bastante comunes, a saber, el desbordamiento y subdesbordamiento de enteros, los ataques de repetición y el (muy perjudicial) error centrado en la cadena de bloques que provoca ataques de reentrada, estos últimos de los cuales pueden provocar que un usuario se quede sin el saldo criptográfico almacenado. Todos estos ataques son posibles gracias a unos patrones de codificación deficientes, que conducen a vulnerabilidades que pueden explotarse, y a unos fundamentos de diseño poco seguros.
Esta tecnología solo se utilizará más ampliamente, pero, tal como está hoy, nos esforzaremos por encontrar suficientes desarrolladores conscientes de la seguridad para garantizar un metaverso seguro y a prueba de fallos. Las organizaciones deben comprender la magnitud de su participación en el metaverso, especialmente si están en juego los datos y la moneda... y es difícil imaginar un escenario en el que este no sea el caso.
Es un entorno no regulado y tú eres (sigues siendo) el producto
Como hemos visto en las películas, la televisión, Second Life, y videojuegos, un entorno metaverso nos permite ser quienes queramos. En un mundo virtual, las posibilidades solo están limitadas por la imaginación, y esa flexibilidad es un gran atractivo para los usuarios. Sin embargo, la desventaja es que, en la escala planificada de algo como Meta, es simplemente demasiado vasto y descentralizado para controlarlo de una manera que lo haría hermético desde el punto de vista de la seguridad. Las estafas serán inevitables, y los delincuentes expertos tendrán aún más con qué trabajar desde el punto de vista de la ingeniería social.
Los datos confidenciales de los usuarios son el nuevo oro, y el metaverso tiene el potencial de ser la fuente de datos más rica y completa que hemos visto hasta la fecha, proporcionando adopción proyectada va según lo planeado. Si bien se puede suponer que las compilaciones de software relacionadas con el metaverso cumplirán con los estándares regulatorios y las medidas de cumplimiento actuales, estas necesitarán actualizaciones que sean adecuadas para respaldar un universo digital en rápida expansión y su economía. Para ello, será fundamental que las organizaciones asuman la responsabilidad de la seguridad de sus contribuciones al metaverso, con un nivel de seguridad interno que garantice que todas las personas que trabajan en el software tengan en cuenta la seguridad e implementen la seguridad en cada paso de su proceso, especialmente en la fase de desarrollo.
Por qué la codificación segura será crucial para el éxito del metaverso
Por muy divertido que sea recorrer una dimensión digital sin ley, representada por un avatar que es todo lo que te gustaría ser en el mundo real, nunca debemos olvidar que detrás de cada «personaje» hay un ser humano. Y cuando los datos y las finanzas de personas reales están en juego, está muy lejos de ser un juego.
En ciberseguridad, somos muy conscientes de que los errores tienen consecuencias que pueden ser realmente devastadoras, y la integridad de cada componente del metaverso no puede ser una idea de último momento si queremos que la adopción generalizada y la confianza de los consumidores lleguen a buen puerto.
Las organizaciones pueden empezar a planificar ahora realizando una evaluación realista de su madurez en materia de seguridad, haciendo hincapié en mejorar las habilidades de seguridad de los desarrolladores que trabajan activamente en el software. Como se desprende del estudio de la Universidad de Rutgers, el control de acceso es solo una potente vulnerabilidad que puede provocar una filtración generalizada de datos, y los desarrolladores preocupados por la seguridad estarían en mejores condiciones de resolver estos problemas mientras se escribe el código y mucho antes de introducir código comprometido.
Confiar en la escasez de habilidades de ciberseguridad no va a desaparecer después de una importante violación de datos en el metaverso, y tenemos las herramientas ante nosotros no solo para hacer lo mejor que podamos, sino también para mejorar activamente los estándares de seguridad del software para siempre. Ha llegado el momento de invertir en la formación de los arquitectos del metaverso y aprovechar los beneficios de una reinvención virtual de los productos y servicios tal y como los conocemos.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
