Seguridad en el metaverso: estafas emergentes y riesgos de phishing

seguridad-en-el-metaverso-estafas
  • Insight
  • 5 minute read
  • 09/02/24

Aunque el metaverso y la web3 están en constante evolución, su impacto en las formas de trabajar, jugar e interactuar es indiscutible. En el ámbito empresarial, se identifican cuatro áreas clave de oportunidad: la experiencia del colaborador, la experiencia del cliente, la mejora de procesos y la creación de nuevos productos y servicios. Sin embargo, a pesar de la innovación que está ocurriendo en estas áreas, la ciberseguridad y las estrategias antifraude no han avanzado al mismo ritmo que el crecimiento y desarrollo del metaverso.

El metaverso abre nuevas oportunidades para que los delincuentes se aprovechen de aquellos inexpertos y poco familiarizados con esta tecnología, mediante ciberataques como el phishing y las estafas. Además de las pérdidas económicas directas, se presentan riesgos evidentes para la reputación de la marca porque dependiendo de la materialidad y frecuencia de los ataques podrían ocasionar demandas por parte de consumidores, grupos de protección al consumidor, agencias de investigación y reguladores.

Un metaverso en el que no se pueda confiar también podría estancar los diferentes procesos empresariales. De hecho, según la Encuesta sobre el Metaverso 2022 de PwC, en la que participaron más de 1.000 ejecutivos y 5.000 consumidores, evidencia que la ciberseguridad y la privacidad eran las principales preocupaciones que les impedían adoptarlo. El metaverso podría potenciar la ciberdelincuencia existente y dar lugar a nuevos tipos de amenazas cibernéticas.

Te puede interesar: Gestión de los riesgos de la IA generativa

Sin embargo, el metaverso respaldado por una infraestructura web3 basada en blockchain podría convertirse en el lugar propicio para encontrar soluciones como la mejora de la protección cibernética y los protocolos, la posibilidad de que los usuarios controlen qué datos se comparten y una mejor verificación de los usuarios.

¿A qué te enfrentas?

Aunque existen muchos tipos de estafas relacionadas con el metaverso y el mundo web3, las más frecuentes son el phishing y la ingeniería social, técnica diseñada para persuadir a un individuo con el objetivo de obtener información específica o inducirlo a realizar una acción determinada, pero con motivaciones ilegítimas.

A pesar de que los delitos en sí son los mismos, el metaverso se presenta como un terreno fértil para el desarrollo de formas novedosas y poco conocidas de abordar a las víctimas con el objetivo de sustraer sus activos. A continuación, se presentan cuatro ataques comunes utilizados actualmente por los ciberdelincuentes.

Mensajes fraudulentos

Los mensajes fraudulentos adoptan diversas formas, desde sitios web, cuentas de redes sociales falsas hasta correos electrónicos engañosos, soporte técnico ficticio y mensajería automatizada en plataformas destinadas a facilitar la comunicación entre consumidores y administradores. Aunque los espacios de metaverso se centran principalmente en comunicaciones de voz en tiempo real, también incorporan funciones de chat y mensajes instantáneos basados en texto. Estas tácticas fraudulentas han demostrado ser eficaces para engañar a las víctimas, incitándolas a hacer clic en enlaces o archivos adjuntos maliciosos, interactuar con formularios web o contratos inteligentes falsificados, para así adquirir información confidencial.

Además, el metaverso ha introducido la "ingeniería social 3D", en la cual los estafadores se acercan a las víctimas mediante la imitación de dominios conocidos y adoptan la forma de avatares 3D diseñados para parecerse a empresas reconocidas. El objetivo es inducir a las personas a compartir información y accesos confidenciales. 

A principios de 2022, un servidor en un entorno metaverso respaldado por blockchain sufrió una vulneración, enviando mensajes fraudulentos a los miembros sobre un "sorteo exclusivo". Cientos de miles de activos digitales fueron sustraídos debido a las personas desprevenidas que visitaron el sitio web falso e interactuaron con el contrato inteligente fraudulento del atacante.

Airdrops y regalos maliciosos

Las empresas utilizan los airdrops como una forma de recompensar a sus inversionistas y como una herramienta de marketing para incentivar a los usuarios a comprar productos y servicios disponibles en sus plataformas. Muchos propietarios de proyectos suelen dar sus token de criptomoneda nativos o un NFT a sus inversores permitiéndoles navegar por su sitio web, conectar sus carteras digitales y firmar un contrato inteligente. 

Lamentablemente, los estafadores explotan este método para engañar a personas desprevenidas, llevándolas a hacer clic en enlaces maliciosos o firmar contratos inteligentes fraudulentos. Esto otorga a los ciberdelincuentes un acceso completo a los activos digitales de las víctimas, los cuales desaparecen en cuestión de instantes.

Phishing

Es la forma que proporciona a los usuarios acceso a sus claves privadas y, por ende, a sus activos digitales. Los estafadores buscan obtener esta información de los usuarios para tomar control de sus carteras digitales y los activos asociados, utilizándolos posteriormente para realizar transacciones fraudulentas en nombre de la víctima. Es importante destacar que, si la clave se almacena fuera de línea, la única forma en que un atacante puede obtenerla es si el usuario la comparte voluntariamente o si la roban del entorno físico donde se guarda. 

Otra táctica común empleada por los estafadores para llevar a cabo este tipo de phishing es crear réplicas de sitios web legítimos, en el que le solicitan a las víctimas que creen una cuenta e iniciar sesión utilizando su clave. A finales de 2021, se identificaron sitios web falsos imitando a populares carteras digitales, donde los estafadores lograron robar medio millón de dólares mediante este método.

Ice phishing

Este esquema innovador engaña a las personas para que asignen o deleguen la aprobación de su dirección de criptomoneda al atacante. La manipulación ocurre cuando el atacante altera la dirección de la víctima por la suya propia mediante la inyección de un script malicioso en un contrato inteligente, a la espera de que la víctima autorice una transacción. Una vez que esto sucede, el contrato inteligente permite al atacante llevar a cabo transacciones en nombre de la víctima.

Dada la complejidad inherente al lenguaje de codificación de los contratos inteligentes, resulta difícil para un usuario inexperto percatarse de que el contrato ha sido manipulado. Esta dificultad se ve agravada por el hecho de que las interfaces de las ventanas que aparecen en la pantalla rara vez ofrecen una descripción clara y comprensible de las acciones que el contrato inteligente llevará a cabo una vez autorizada la transacción. Este factor incrementa la probabilidad de que una persona apruebe una transacción sin comprender completamente sus implicaciones.

En una ocasión, los estafadores desarrollaron sitios web falsos vinculados a un entorno metaverso específico. Utilizaron anuncios web y pagaron para que su sitio de imitación ocupará los primeros lugares en los resultados de búsqueda. Una vez dentro del sitio falso, los usuarios vinculaban sus monederos y firmaban lo que creían que era un acuerdo inofensivo para acceder a sus cuentas. Sin embargo, en realidad, estaban firmando un contrato que modificaba su estado y otorgaba a los estafadores acceso a sus activos.

¿Cómo proteger a tu empresa y clientes?

¡Cambia la manera en que ves el riesgo! Descubre los riesgos a los que se enfrentan las compañías colombianas y las principales acciones para gestionarlos.

Debido a lo novedoso que es la web3 y el metaverso, existe escasa o nula regulación que resguarde a los consumidores y pocos recursos están disponibles para las víctimas que han sufrido el robo de sus activos digitales. Además, las exigencias a las empresas operando en este espacio son limitadas. No obstante, a pesar de este panorama, existen medidas proactivas que las organizaciones pueden implementar para identificar y protegerse a sí mismas, así como a sus clientes, frente a este tipo de estafas.

1

Enfocarse en los controles

2

Implementar función de moderación de contenidos

3

Promover una higiene adecuada de la cartera

4

Mantenerse actualizado y ser transparente

Enfocarse en los controles

Es esencial mantener e implementar controles que verifiquen la autenticidad de los mensajes provenientes de terceros, con la capacidad de etiquetar o bloquear aquellos que sean maliciosos. Este enfoque es crítico, ya que los mensajes fraudulentos pueden originarse incluso desde cuentas legítimas que hayan sido comprometidas y tomadas por estafadores. El desarrollo y despliegue de tales controles se presenta como una área en constante evolución, especialmente a medida que aumenta la adopción y la actividad de los usuarios y evoluciona la postura de seguridad en los entornos de metaversos.

Una medida de control básica y efectiva consiste en la implementación de autenticación de dos o múltiples factores. Este enfoque preventivo puede ser eficaz para resguardarse de los riesgos asociados con la toma de cuentas en redes sociales y correos electrónicos.

Implementar función de moderación de contenidos

Para reducir el riesgo de fraude en un proyecto dentro del metaverso, las empresas pueden incorporar una función de moderación de contenidos o un marco de gobernanza en sus plataformas. Esta acción puede extenderse a cualquier herramienta de mensajería o chat de texto presente en el entorno. La implementación de estas medidas permite realizar una debida diligencia en los colaboradores del proyecto, abarcando desde la eliminación o prohibición de usuarios abusivos que no cumplen con las reglas de la comunidad, hasta la identificación y eliminación de mensajes maliciosos o engañosos. Además, se pueden llevar a cabo escaneos regulares de IP y de la red, entre otras funciones, para fortalecer aún más la seguridad y la integridad del entorno.

Promover una higiene adecuada de la cartera

Esto significa utilizar varios monederos, cada uno de ellos con una finalidad específica. A nivel del consumidor, es común que los usuarios mantengan un monedero de uso diario, un monedero de transacciones y un monedero seguro. El monedero de uso diario es aquel con el que interactúa más frecuentemente, pero debe contener artículos de bajo valor y la cantidad justa de criptomoneda para realizar transacciones diarias y limitar así el riesgo de pérdidas financieras. Los monederos de transacciones se utilizan comúnmente para interactuar con intercambios y mercados. Mientras que un monedero seguro almacena los activos digitales de alto valor del usuario. Los monederos hardware representan una de las formas más seguras de almacenar activos digitales, ya que no están conectados a Internet y no almacenan la clave privada.

A nivel empresarial, existen diversas plataformas de custodia que pueden ser empleadas para adaptar la experiencia del monedero, gestionando así los activos digitales corporativos que se alinean con los objetivos empresariales. Un ejemplo es configurar un monedero corporativo como multi-sig o multi-party computational (MPC, por sus siglas en inglés), requiriendo la autorización y firma de múltiples direcciones de monedero designadas (usuarios) antes de ejecutar una transacción en la blockchain. Asimismo, las empresas involucradas en la creación o patrocinio de espacios de metaverso podrían considerar la educación de los consumidores sobre los beneficios de mantener múltiples carteras. Esto no solo ayuda a reducir el riesgo, sino que también facilita la configuración de una estructura de múltiples carteras para fomentar la higiene de la misma entre los usuarios.

Mantenerse actualizado y ser transparente

Resulta desafiante prevenir un ataque que no se anticipa. Por eso, es crucial mantenerse al día respecto a las estafas emergentes y proporcionar educación y comunicación periódica a las partes interesadas, especialmente a colaboradores y clientes, sobre la salvaguarda de activos y la identificación y respuesta a amenazas potenciales. Esto implica verificar enlaces antes de hacer clic en ellos, confirmar la legitimidad del remitente de un enlace, realizar investigaciones independientes sobre proyectos y plataformas en el metaverso y web3, ser consciente de los términos de los contratos inteligentes que se están firmando y evitar la interacción con mensajes directos entrantes. En lugar de ello, se recomienda dirigirse a la página de "enlaces oficiales" de un proyecto antes de participar.

Este artículo está basado en el artículo “Metaverse security: Emerging scams and phishing risks” de PwC US. Esta versión es organizada y revisada por PwC Colombia.

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
Síguenos PwC Colombia