Existe una frase muy popular atribuida al filósofo George Santayana que dice “Aquellos que no pueden recordar el pasado están condenados a repetirlo”. La frase fue muy utilizada para hacer referencia a la importancia que tiene para el progreso y la evolución la capacidad de aprender de los errores cometidos en el pasado para evitar que vuelvan a repetirse en el futuro. Y creo que aplica perfectamente para analizar el futuro de la tecnología y algunas promesas de evolución que supone el metaverso, la web 3.0 y los criptoactivos. Otras revoluciones tecnológicas en el pasado reciente, como el crecimiento de la Internet de las Cosas (IOT), por nombrar solo un ejemplo, nos han demostrado los riesgos y consecuencias para la seguridad y la privacidad de las personas la falta de madurez de los usuarios, la falta de regulaciones y la poca conciencia por parte de las empresas desarrolladoras de estas tecnologías. Tal vez es irreal pensar que podemos estar lo suficientemente preparados para afrontar los desafíos de algo que se ve aún lejano, pero sí que hay mucho que se puede hacer desde la educación y la concientización para no llegar tan desprotegidos.
Este artículo forma parte de la serie Tendencias en ciberseguridad para el 2023: ¿en las puertas de una nueva revolución de Internet?
Introducción
Los últimos años Internet se ha revolucionado con los criptoactivos y la posibilidad de tener todo, en todo momento, pero sin tener nada. Sé que esta frase puede resultar un tanto extraña, pero describe lo que ocurre con los activos de ahorro que no son físicos, como son las criptomonedas y los criptoactivos en general, cuya adopción creció tanto que en América Latina, por ejemplo, el 51% de los consumidores ya hizo transacciones con criptoactivos y se muestran muy interesados por las oportunidades de inversión.
Otro aspecto tecnológico que se ha ido perfeccionando en los últimos años tiene que ver con las experiencias de inmersión, algo que podemos ver desde hace un tiempo con los videojuegos y simuladores de realidad virtual. La combinación de estas dos tecnologías explica en gran medida por qué existe cada vez más interés por el metaverso y también por el concepto de Web 3.0.
En el caso del metaverso nos referimos a un mundo virtual al que las personas podremos conectarnos a través de dispositivos especiales para pasar tiempo interactuando en una realidad alternativa. Este proyecto tiene a algunas empresas trabajando en el desarrollo de modelos, como es el caso de Meta, Google y también Microsoft. Según Bloomberg, se trata de la próxima gran plataforma tecnológica que tiene el potencial de convertirse en una industria con un valor de 800 mil millones para el 2024. Por otra parte, las proyecciones estiman que para el 2026 el 25% de las personas en el mundo dedicarán al menos una hora al día a este mundo virtual.
Cuando hablamos de Web 3.0 el cambio principal estará marcado por la descentralización. Se trata de una idea que pretende quitar el control de Internet a los gigantes tecnológicos y darle a las personas y comunidades el poder de controlar el contenido. Las claves para lograr esta descentralización están en tecnologías como blockchain y en el uso de criptomonedas.
Un aspecto interesante de ambas ideas y que nos concierne desde la perspectiva de la ciberseguridad es que el concepto de “usuario” no abarca solo a las personas, sino también a las organizaciones, ya que podrán realizar negocios, ya sea financieros, de compraventa, mediante anuncios, etc.
Criptomonedas & NFT: Una realidad creciente incluso para el cibercrimen
El volumen de transacciones con criptomonedas creció 567% de 2020 a 2021, confirmando el interés que existe por la adopción de criptomonedas para realizar diversas operaciones financieras. Por otra parte, durante el 2022 se consolidaron los NFT, una propuesta muy interesante para monetizar elementos como bienes digitales y el coleccionismo de arte. Y aunque pareciera que todavía se trata de algo incipiente, no podemos dejar de mencionar el crecimiento que han tenido con una proyección de valor de mercado para el 2030 de 231.000 millones de dólares. Y una de las claves para entender este crecimiento son los videojuegos.
Si bien el uso de criptomonedas ha superado la década en antigüedad, el panorama de hoy no es el mismo. Ya no es Bitcoin la moneda que controla el mercado, sino que existen más de 20 mil tipos distintos de criptomonedas. Si bien muchas de ellas van quedando en el fraude y muchas otras van apareciendo, la generación de micro (y macro) comunidades alrededor de las mismas generan nuevas formas de interactuar con las criptomonedas: Desde los juegos play-to-earn, pasando por inversiones, hasta la compraventa de otros activos en la blockchain como lo son los NFT.
Sin embargo, con el crecimiento del ecosistema cripto también crecieron las amenazas informáticas y el interés de los cibercriminales. Y esto es algo que queda demostrado con la cantidad de ataques a servicios de Exchange, plataformas financieras descentralizadas, videojuegos basados en blockchain y otros servicios entre 2021 y 2022. Todos ataques que derivaron en el robo de millones en diferentes criptoactivos.
Lamentablemente, muchas de estas innovaciones fueron surgiendo a un ritmo muy acelerado y muchas personas decidieran incursionar sin estar debidamente preparadas. Y esto es algo que los cibercriminales han estado intentando aprovechar utilizando distintas formas de ataque y esquemas de fraude para quedarse con el dinero de las personas y de las empresas.
Otro aspecto fundamental para entender las dificultades que plantean los criptoactivos para la seguridad tiene que ver con el alto grado de anonimato en el ecosistema cripto. Este factor hace imposible, por diseño, que las personas cuenten con algún tipo de soporte ante estafas, robo o verificación de identidad, lo cual dio lugar a que proliferen amenazas como el phishing y otras modalidades de engaño. Y lamentablemente, una vez que el dinero fue robado, ya no es posible hacer mucho. Para entender el impacto de la actividad criminal solamente para los usuarios, según datos oficiales para Estados Unidos, las pérdidas por estafas con criptomonedas se multiplicaron 60 veces entre 2018 y 2022, con las víctimas perdiendo una media de 2600 dólares.
Si hablamos de los desafíos para la ciberseguridad en el mundo cripto también tenemos que hablar de los incidentes que derivan de las vulnerabilidades o defectos del desarrollo de software. Si bien existen metodologías y buenas prácticas para el desarrollo seguro, muchas veces no enmiendan el error del factor humano. A veces los intereses del negocio aceleran los tiempos y no se realizar auditorías acordes antes de la puesta en producción de los aplicativos y tecnologías. Esto da a lugar a que los atacantes exploten estos errores o vulnerabilidades a su favor. Así fue, por ejemplo, lo que sucedió con plataformas como Qubit y Wormhole que sufrieron pérdidas por un total de 400 millones de dólares en criptomonedas por la explotación de una vulnerabilidad compleja en contratos inteligentes.
Con todo este contexto y poniendo el foco en la seguridad, es evidente que vamos camino a enfrentarnos con grandes desafíos durante los próximos años que demandan aplicaciones más seguras, personas mejor entrenadas y conscientes de las amenazas, y regulaciones que estén a las alturas de las circunstancias. Las vulnerabilidades en los sistemas no dejarán de aparecer y nuevos instrumentos y herramientas para operar con criptoactivos seguirán surgiendo y creciendo, obligando a que las personas estén más atentas y sean capaces de pensar y reconocer lo que es legítimo y lo que oculta malas intenciones.
La tendencia muestra que en el último año la ingeniería social fue lo que más utilizaron los cibercriminales para llevar adelante sus ataques y en segundo lugar el malware especializado; como el ransomware, malware para robar información del portapapeles, los troyanos de acceso remoto (RAT), los Keyloggers y el uso de Cryptojacking.
Probablemente esta tendencia se mantendrá el próximo año y es de esperarse que siga creciendo la masa de usuarios en el ecosistema cripto, así como el interés por los NFT o por nuevos instrumentos de operabilidad, como son los que proponen el mundo de las finanzas descentralizadas (Defi).
Virtual y real: Metaverso
El concepto de metaverso es uno que atrae más la atención de personas y compañías por igual. Las altas inversiones que ya se han hecho pensando en estos proyectos son el mayor indicador de que esta nueva modalidad será una realidad. Algunas empresas como Meta, invirtieron más 36 mil millones de dólares desde 2019 en su proyecto de metaverso y es junto a Google y Microsoft uno de los mayores promotores de esta nueva forma de interactuar en el mundo virtual. Sin embargo, esta idea tan fascinante del metaverso tiene su lado B y hay una gran cantidad de interrogantes que aún no tienen respuesta y que para entender la seguridad son fundamentales: ¿Qué tipo de hardware se usará para acceder al metaverso? ¿Cómo nos autenticaremos? ¿Qué arquitecturas serán las utilizadas por los dispositivos involucrados en estas experiencias? ¿Qué sucede con los datos y la privacidad de los mismos? Estas y un sinfín de preguntas más tendrán su respuesta una vez que los sistemas estén en marcha.
Uno de los principales puntos de atención al hablar del concepto de metaverso son las novedades en materia de hardware y software que podría introducir. La autenticación, el factor inmersión, el almacenamiento estático y dinámico de la información, la economía funcional y hasta las interacciones sociales estarán atravesadas por dispositivos tan variados como celulares, computadores o lentes de realidad virtual.
Esto implica el desarrollo de piezas de software nuevas —o parcialmente—, que sean funcionales en arquitecturas muy distintas, lo cual implica un gran desafío si pensamos en el desarrollo seguro.
Creo que es oportuno tomar como referencia lo que pasó hace algunos años con otra innovación tecnológica: la Internet de las Cosas, más conocida como IoT. El auge de los dispositivos inteligentes conectados a Internet despertó gran preocupación, sobre todo cuando se observó que muchos dispositivos IoT disponibles en el mercado no habían sido desarrollados teniendo en cuenta la seguridad y la privacidad de las personas. ¿El resultado? Datos alarmantes con consecuencias palpables. Según una encuesta realizada por la firma de ciberseguridad Cynerio, más de la mitad de hospitales alrededor del mundo afirmaron que recibieron algún tipo de ciberataque dirigido a sus dispositivos IoT, y un 53% de los dispositivos que utilizan cuenta con al menos una vulnerabilidad crítica no resuelta.
Debilidades como circuitos de cámaras de seguridad abiertos a Internet, routers con contraseñas de administrador por defecto, hardware dentro del perímetro de una organización pero fuera de las redes corporativas, y hasta equipos del ámbito de la salud utilizados para realizar movimiento lateral, son algunos de los problemas de seguridad que vemos día a día producto del desarrollo acelerado.
Lo que pasó con los dispositivos IoT — y que aún sigue sucediendo— debería servirnos de experiencia y aprendizaje al desarrollar los sistemas que harán funcionar al metaverso. Caso contrario, nos enfrentaremos con un alto número de vulnerabilidades que los cibercriminales buscarán utilizarán para explotar accesos, autenticaciones, transacciones económicas e incluso modificar el código de las propias aplicaciones.
Además, es de esperarse que se desarrollen códigos maliciosos con funcionalidades que incluirán el espionaje, robo de credenciales y suplantación de identidad. Si a esto sumamos un desarrollo de software poco seguro, el escenario podría ser aún más favorable para los actores de amenazas. Basta con pensar en sistemas de intercambios de archivos, algo que ofrece cualquier red social, ¿cómo se validará si el archivo tiene contenido malicioso? ¿Cómo permitirá la plataforma interactuar con estos eventuales archivos? ¿Serán abiertos por la propia interfaz o deberán descargarse y manejarse por separado? Actualmente, los archivos maliciosos representan una parte importante de la escena de las amenazas digitales y, sin duda, deberán tenerse en cuenta en Metaverso.
A estos factores debemos sumar el volumen de información personal que se requerirá para interactuar con un metaverso, y cuál será el nivel de conocimiento de las personas con respecto a políticas de privacidad y uso de los datos por parte de las organizaciones que mantendrán estos metaversos en funcionamiento. Si bien no es un error de diseño, las consecuencias podrían llegar a ser críticas si, por ejemplo, la información de registro queda plasmada en los perfiles públicos de los usuarios. Otro escenario que es necesario plantearse tiene que ver con brecha de datos: los usuarios deberán saber cómo se almacenarán sus datos, cómo podrán solicitar la eliminación de registros o si será necesario que las organizaciones informen en caso de que nuestra información ha sido vulnerada,.
Por último, la ingeniería social también será una preocupación. Con la posibilidad de imitar, ya sea visualmente o con una cuenta fraudulenta, a una personalidad u organización conocida, los engaños serán tan comunes como los son hoy en día en cualquier red social. Y con las posibilidades que ofrece la inmersión, es muy probable que la personas sean más susceptibles a un engaño de ingeniería social en este contexto.
En resumen, viendo el crecimiento de las criptomonedas en los últimos años y el nivel de adopción que han tenido otras formas de criptoactivos como los NFT, la combinación del ecosistema cripto con ideas tan innovadoras como el metaverso y la Web3.0 sin dudas que revolucionarán el futuro cuando se conviertan en una realidad. Los actores de amenazas dirán presente y buscarán la forma de sacar provecho, por lo que esperamos que experiencias pasadas nos puedan ayudar a estar mejor preparados para enfrentar los desafíos por delante, y esto implica un compromiso de todas las partes involucradas y el continuo esfuerzo de trabajar en educación y concientización.
Invitamos a escuchar el episodio de diciembre del podcast Conexión Segura, donde los investigadores de ESET hablaron en profundidad de estas tres tendencia y explicaron cuáles son los desafíos para la ciberseguridad.