Tener acceso a mundos virtuales desde tu computadora de casa a través de tu navegador web y poder interactuar con otros de manera segura y privada: esa es la promesa de las plataformas de metaverso.
Un investigador del Centro Helmholtz para la Seguridad de la Información CISPA analizó esta premisa y descubrió importantes riesgos en términos de falta de privacidad y peligro de ciberataques.
El autor, de nombre Andrea Mengascini, presentó su estudio “El nuevo patio de recreo del Gran Hermano». Desenmascarando la ilusión de privacidad en los metaversos web desde la perspectiva de un usuario malintencionado » en una conferencia el pasado otoño.
«Siempre me ha interesado la realidad virtual y los juegos en línea», afirmó Andrea Mengascini. Cuando él y el líder de su grupo de investigación, el doctor Giancarlo Pellegrino, profesor del CISPA, comenzaron a indagar sobre la seguridad de los cascos de realidad virtual, descubrieron algo interesante.
«Nos dimos cuenta de que se trataba de la misma tecnología que se utiliza en los juegos en línea y que también se utiliza en los metaversos», aseveró Mengascini.
El metaverso y los juegos en línea
Define un metaverso como un «espacio social virtual en el que las personas pueden interactuar de acuerdo con reglas que, de alguna manera, reflejan las reglas del mundo físico». Si bien se ha investigado la seguridad de los juegos en línea y se han implementado defensas, todavía era una pregunta abierta con respecto a las plataformas de metaverso. Esto es lo que captó el interés de Mengascini.
«En los últimos años, acceder a un metaverso se ha vuelto mucho más fácil», explica Mengascini. «Hoy en día, solo se necesita un navegador web normal para entrar en estas salas. Gracias a la interfaz API WebXR, también es posible utilizar un casco de realidad virtual».
En el metaverso, la gente encuentra una especie de copia digital del mundo real: hay salas para reuniones privadas, eventos públicos grandes o pequeños, diversión y entretenimiento.
«Estas plataformas funcionan como clientes web y utilizan JavaScript para gestionar entornos 3D complejos, avatares de usuarios e interacciones en tiempo real. Todo esto no solo es crucial para el buen funcionamiento del metaverso, sino que también juega un papel importante en su seguridad», explicó el investigador.
El objetivo de Mengascini era averiguar si existen lagunas de seguridad al acceder al metaverso a través de navegadores web.
Preguntas y enfoque del investigador
Para su estudio, Mengascini planteó tres preguntas específicas:
- ¿Qué entidades, como usuarios y objetos, existen en los metaversos y qué atributos, como posición, apariencia, etc., se les asignan?
- ¿Dónde exactamente se almacenan estos elementos en la memoria y qué acceso pueden obtener los atacantes a esta memoria?
- ¿Cómo se puede explotar la memoria para realizar ataques?
A través de una búsqueda en Google, el investigador de CISPA identificó en primer lugar 27 plataformas de metaverso que utilizan la interfaz API de WebXR.
En un siguiente paso examinó tres de ellas con más detalle, ya que eran las que mejor funcionaban en términos de popularidad, actividad de los usuarios, tráfico de Internet y cobertura de eventos reales. El método de Mengascini consistió en crear las llamadas instantáneas de memoria, una instantánea de los objetos almacenados en la memoria.
Los snapshots se tomaron antes y después de ejecutar una acción específica, como mover un avatar de A a B. Después, se utilizó un algoritmo para comprobar si se había producido algún cambio y si esta información podía leerse desde la memoria del navegador web.
«El hallazgo más importante es que estas plataformas carecen de los mecanismos de seguridad más básicos», reveló Mengascini ya que, en efecto, resultó muy fácil acceder a la memoria de los navegadores. Con un poco de práctica, incluso un no experto podría acceder tanto al código fuente como a los objetos reales de la memoria.
Posibles escenarios de ataque
Según Mengascini, esta brecha de seguridad daría lugar a varios escenarios de ataque posibles. El hallazgo clave es que los atacantes pueden controlar la posición del avatar y de la cámara de los atacantes y de las víctimas, así como su apariencia, de forma independiente.
«Esto permite a los atacantes ubicarse en la habitación sin ser detectados y escuchar lo que ocurre», dijo Mengascini. Otra posibilidad es que los atacantes puedan ver el contenido de la cámara de otro usuario sin que este se dé cuenta.
Es como si los atacantes pusieron los lentes de realidad virtual al usuario sin que este se dé cuenta, añadió el investigador. Para evitarlo, el servidor tendría que retener la mayor cantidad de información posible, lo que se traduciría en un aumento de la potencia de procesamiento. Precisamente esta es, según Mengascini, una de las razones por las que las plataformas de metaverso dependen tanto de los navegadores web.
No dejes de leer: Las preferencias de los usuarios en cuanto a la realidad aumentada en las redes sociales
Nuestras redes sociales, únete y sé parte de la tecnología
