​​Oportunidades para la industria de la seguridad en el metaverso

CLAVES DEL ANÁLISIS

• Las principales oportunidades que las empresas de seguridad pueden encontrar en la llegada del metaverso están relacionadas con el surgimiento de nuevos riesgos para la integridad física y moral, así como con el aumento de la exposición a riesgos propios de la actividad digital como son los delitos cibernéticos, el acoso, la extorsión o el fraude. Por otro lado, también existen oportunidades para ofrecer servicios de protección frente al robo de datos, activos digitales y la criptocustodia. 

• El Oasis Consortium es un organismo formado por varias empresas de videojuegos y plataformas digitales que han desarrollado unos estándares para la protección de la seguridad y los comportamientos éticos en los entornos virtuales. Entre las propuestas del Oasis Consortium está el exigir a las empresas que operen en el metaverso la contratación de profesionales que velen por la seguridad y la protección en las interacciones entre los usuarios. 

• Meta también ha anunciado importantes inversiones para la investigación en materia de posibles riesgos para la seguridad y la integridad física y moral de los usuarios del metaverso. Para ello, están estableciendo colaboraciones con diversas entidades externas, públicas y privadas. Los modelos de machine-learning e inteligencia artificial podrían servir para automatizar parte de estas labores.

La llegada del metaverso hará que los usuarios se expongan a nuevos tipos de riesgo y vulnerabilidades de seguridad lo cual dará lugar al surgimiento de nuevas oportunidades de negocio en el sector para dar respuestas a esas necesidades de protección. En este análisis hemos identificado estos posibles riesgos emergentes, así como algunas iniciativas pioneras.

NUEVOS TIPOS DE RIESGO Y SU CLASIFICACIÓN

Los riesgos de seguridad ligados al metaverso podrían clasificarse en diferentes tipologías:

1. Riesgos para la seguridad física: en primer lugar, el uso de tecnologías de realidad extendida puede provocar efectos relacionados con la seguridad del usuario en su vida real. Por ejemplo, la exposición a un uso continuado de gafas 3D, durante muchas horas al día, puede provocar desorientación una vez se vuelve a la vida normal. De igual forma, puede provocar que se adquieran hábitos virtuales que no son compatibles con la vida real dando lugar a situaciones de riesgo relacionadas con el tráfico o con lesiones físicas. En este aspecto, las empresas del sector de la seguridad pueden plantearse la posibilidad de ofrecer, tanto a particulares como empresas, mecanismos de seguridad para minimizar este tipo de riesgos tanto en el ámbito profesional como laboral, bien sea a través de servicios de formación como de establecimiento de estándares y buenas prácticas profesionales o personales en el uso del metaverso. 
2. Riesgos para la salud mental: el uso prolongado de realidad virtual conlleva un riesgo de aislamiento que puede derivar en comportamientos violentos o depresivos. Al igual que ocurre con el primer punto, la labor de una compañía de seguridad en este aspecto podría estar ligada a funciones preventivas y de formación, aunque aquí también podrían encontrarse oportunidades para actuar directamente identificando casos de riesgo, en base a patrones de comportamiento en el mundo virtual, para después actuar en consecuencia en la vida real.
3. Riesgos para la integridad física y moral: el metaverso es un espacio aún por regular, en el que muchos límites legislativos todavía no están bien definidos. Sin embargo, conforme los marcos regulatorios se vayan adaptando, será más necesaria la aplicación de medidas de vigilancia para cumplir con dichas normas. Un ejemplo relacionado con este punto es el hecho de que ya se estén produciendo las primeras denuncias por acoso sexual y violación en espacios virtuales (4). Las compañías de seguridad tendrán, por tanto, un papel que jugar a la hora de proteger a los usuarios del metaverso frente a estos peligros y otros límites relacionados con el consentimiento personal y la libertad individual. En este punto también es de vital importancia la protección de los menores. Dado que los niños también podrían convertirse en usuarios del metaverso, aumentan los peligros de que estos sufran ataques contra sus derechos a través de intimidaciones, extorsiones, acosos, etc. Surge aquí también un nuevo frente de protección que se traslada desde los ámbitos de seguridad en los espacios físicos reales, a los espacios digitales de la red y ahora también a los espacios y entornos virtuales. 
4. Riesgos de privacidad: la llegada del metaverso provocará un aumento exponencial en el volumen de datos personales registrados en la red, a través de todas las acciones cotidianas de un individuo. Nuevamente, la legislación va a tener que estar muy presente para salvaguardar el derecho a la privacidad y la protección de la información. En este espacio, debido a su naturaleza digital, se amplían las oportunidades de negocio que ya existen en la red para ofrecer servicios de protección frente a intrusiones en la privacidad o violaciones del derecho a la intimidad y la confidencialidad de los datos. 
5. Ciberseguridad: relacionado con el punto anterior se encuentra uno de los peligros más importantes para el metaverso que es el de los riesgos de ataque cibernético, los cuales tienen una importancia de carácter sistémico para todo tipo de organizaciones y que harán que sea necesario reforzar las medidas de seguridad. Sin embargo, aunque las compañías de seguridad también pueden operar aquí, se trata de un espacio más saturado ya por parte de los proveedores especializados ya establecidos en el ámbito de la ciberseguridad. No obstante, también están surgiendo nuevas startups, como es el caso de Arkose Labs (10), focalizadas en la ciberseguridad del metaverso, con las que podrían existir sinergias. 
6. Riesgos para la identidad: la llegada de los avatares virtuales hace que aparezcan nuevos peligros para la suplantación de la identidad en espacios digitales y los delincuentes cibernéticos tengan nuevas oportunidades para robar datos personales, manipular o suplantar identificaciones, etc. Las compañías de seguridad pueden trabajar en este aspecto para ofrecer a los usuarios herramientas tecnológicas que les permitan velar adecuadamente ante estos peligros. 
7. Estafas económicas y chantajes virtuales: el uso de criptomonedas y activos virtuales de intercambio, basados en blockchain e independientes a las monedas fiat tradicionales, provoca una mayor exposición a delitos de engaño y fraude. Por otro lado, la existencia de los avatares facilita a los delincuentes la posibilidad de hacerse pasar por identidades falsas y cometer delitos de extorsión o manipulación. Así, el metaverso aumenta la exposición de los usuarios a nuevos peligros como: el catfishing: creación de identidades falsas para atraer a las personas a supuestas relaciones online y, a través de ello, pedir favores económicos o llevar a cabo acciones abusivas y engañosas; el doxing: delito basado en acceder a datos personales o documentos privados de un individuo (por ejemplo, fotos), a través de un engaño en la red, y después extorsionar a esa persona mediante la amenaza de publicar dichos datos o documentos. Las compañías de seguridad pueden trabajar para desarrollar sistemas que permitan identificar más fácilmente este tipo de delitos, así como para ofrecer a sus clientes servicios de prevención y respuesta frente a este tipo de incidentes. Por ejemplo, se pueden crear canales de denuncia para que un usuario que tenga sospechas de estar siendo víctima de un delito de este tipo pueda buscar cauces para responder ante la problemática. 
8. Riesgo de robo de activos, bienes y propiedades virtuales: relacionados con los riesgos de ciberseguridad, existen también peligros relativos al robo de bienes virtuales: desde avatares, a propiedades, objetos o criptomonedas, etc. Un ejemplo de aplicación muy clara en este aspecto es el de los servicios de criptocustodia.

Esta podría ser una lista bastante completa de los nuevos riesgos a los que las empresas de seguridad pueden dar respuesta dentro del metaverso, pero ¿ya hay iniciativas dentro del sector, específicas para este ámbito?

OASIS CONSORTIUM Y LOS ESTÁNDARES DE SEGURIDAD DEL METAVERSO

Una iniciativa relacionada con el ámbito de la seguridad en el metaverso es la creación, en el año 2020, de la organización sin ánimo de lucro Oasis Consortium. Este organismo global está conformado por un grupo de empresas del sector de los videojuegos, y otros negocios online, que buscan realizar acciones conjuntas para promover una red más ética, donde las personas puedan interactuar con mayor seguridad. (1) 

A principios de este año 2022, Oasis Consortium publicó unos primeros estándares para la seguridad de los usuarios en el metaverso. Este conjunto de recomendaciones incluye la contratación de un responsable de fiabilidad y seguridad que se encargue de velar por el cumplimiento de las normativas y detectar posibles casos de comportamientos poco éticos, discriminatorios o que atenten contra los derechos individuales. 

Todas las empresas que forman parte del consorcio actualmente (entre las que se encuentran conocidas plataformas del metaverso, como Roblox y gigantes de los videojuegos como Riot Games) han suscrito estos estándares y se han comprometido para aplicar dichas medidas en pos de lograr el objetivo marcado. En conjunto, estas empresas cuentan ya con cientos de millones de usuarios a los que van a dar protección en sus espacios virtuales. 

Desde Oasis Consortium consideran que el carácter descentralizado del metaverso debe tenerse en cuenta por parte de las empresas, a la hora autorregular sus propias medidas de protección y seguridad de los usuarios. 

Otro objetivo de este consorcio es acercarse ahora a las big tech, incluyendo a Meta, para que se unan a la iniciativa. La entrada de Meta significaría la práctica estandarización de sus recomendaciones de seguridad del metaverso a nivel internacional. 

INVERSIONES DE META PARA LA INVESTIGACIÓN EN MATERIA DE SEGURIDAD

Desde Meta ya han hecho diversas declaraciones públicas en las que afirman estar trabajando para construir un metaverso de manera responsable, en donde se mantenga la seguridad de los espacios virtuales. En uno de estos comunicados, Meta asegura que no están construyendo el metaverso de manera unilateral si no que van a hacerlo en colaboración con los reguladores, expertos legales y otros socios industriales que garanticen que el metaverso pueda hacerse efectivo en la vida real. Aquí es donde entrarían en juego también las compañías de seguridad como posibles socios de los creadores de metaversos. (6) 

En noviembre de 2021, Meta anunció una inversión de 10.000 millones de dólares en su laboratorio de investigación en realidad virtual, Reality Labs, con la finalidad de encontrar los problemas que puedan afectar a la creación del metaverso en términos de seguridad, integridad, equidad e inclusión social. Para ello, están trabajando también con diversas agencias gubernamentales, organizaciones sin ánimo de lucro e instituciones académicas. Parte de estas inversiones se están destinando a empresas externas para que estas lleven a cabo investigaciones independientes en relación con estas cuestiones de seguridad. 

SISTEMA DE CALIFICACIÓN DE SEGURIDAD

A parte de la creación de estándares, otra de las estrategias que tiene planeado seguir el consorcio Oasis es la creación de un sistema de calificación que permita a cualquier usuario conocer fácilmente en nivel de fiabilidad y seguridad ofrecido por una plataforma de realidad virtual. Este sistema funcionaría con una puntuación similar a la que se usa ya en otros ámbitos como el de la hostelería y la restauración, la calificación de los servicios energéticos en materia de eficiencia o los niveles de riesgo de los productos financieros.

LA FIGURA DEL RESPONSABLE DE SEGURIDAD VIRTUAL

Otra de las medidas propuestas por Oasis es exigir a las empresas que operen en el metaverso y los entornos virtuales la contratación de un responsable de fiabilidad y seguridad. Este es un rol de empleado que ya existe en algunas empresas grandes, pero todavía no existe ni una obligatoriedad ni un estándar oficial que determine hasta qué punto se ha de cumplir con esta medida. 

De hacerse efectiva esta iniciativa, siendo aprobada por todas las empresas participantes en el consorcio, se crearía un precedente extensible al resto de organismos públicos y privados involucrados en la creación del metaverso y esto abriría una puerta enorme para que las compañías de seguridad puedan ofrecer ese rol de proveedores de profesionales expertos en la protección de la seguridad de los espacios virtuales. 

INTELIGENCIA ARTIFICIAL PARA DETECTAR ACOSOS Y DELITOS DE ODIO

Buena parte de este trabajo enfocado a la protección y la integridad de los usuarios del metaverso es susceptible de ser automatizado. En este sentido, ya existen propuestas para aplicar algoritmos de inteligencia artificial y machine-learning que sean capaces de detectar, de forma automática, y en tiempo real, comportamientos virtuales que tengan componentes de odio u acoso. 

Por ejemplo, desde el Centro para la Lucha contra el Odio Digital (Center for Countering Digital Hate) han realizado una investigación grabando, durante varias semanas, las interacciones que tenían lugar en el juego VRChat, para el cual se emplean las gafas de realidad virtual de Oculus. (8) En este juego, los participantes forman comunidades virtuales a través de sus avatares y juegan partidas de cartas o se encuentran para interactuar en diferentes espacios públicos virtuales, a modo de clubs. 

Durante la investigación, identificaron más de 100 incidentes en los que se habían visto involucrados incluso menores. En algunos de estos casos, se produjeron situaciones de acoso sexual o violento. En otros, se detectaron intentos de mostrar contenido sexualmente explícito a menores. 

Este tipo de acciones de investigación pueden no solo ser monitorizadas por profesionales reales si no que pueden registrarse en los modelos de machine learning para que los algoritmos de inteligencia artificial sean capaces de detectarlos automáticamente. 

Los profesionales de la seguridad virtual ocuparían también un rol de moderadores ante determinados conflictos que pudieran surgir entre los usuarios de las plataformas. 

El campo de investigación para entender realmente cómo la IA puede aplicar en este tipo de situaciones es todavía muy grande, pero, sin duda, es otra de las oportunidades que se presenta a las compañías de seguridad para desarrollar herramientas tempranas que puedan después comercializarse. 

En este punto, aún está por dilucidar el papel que van a jugar las fuerzas de orden público. Lo que establezcan finalmente las regulaciones va a determinar el grado de oportunidad al que van a tener acceso las empresas del sector. 

Estas normativas también van a tener que ser capaces de especificar hasta qué punto son compatibles los derechos de seguridad y los derechos a la privacidad de la información de los usuarios, los cuales podrían llegar a entrar en conflicto. Por ejemplo, un usuario podría presentar una queja o denuncia ante un vigilante virtual por haber sido víctima de un acoso o una discriminación. Sin embargo, es difícil que esta persona pueda aportar una prueba rápida si no está permitido que las plataformas graben o registren lo que sucede en ellas. En este aspecto, ocurriría algo parecido a lo que pasa en la vida real y tendrían que entrar en juego acciones judiciales públicas. Lo mismo ocurre con los algoritmos de inteligencia artificial, si estos están diseñados para manejar únicamente datos anonimizados, pero tienen límites establecidos por los derechos de protección de datos y privacidad de la información. 

BIBLIOGRAFÍA

01. MIT TECHNOLOGY REVIEW. El reto casi imposible de ofrecer seguridad y privacidad en el metaverso. 24 de enero de 2022 [consultado 23-03-2022]. Disponible en: https://www.technologyreview.es/s/13950/el-reto-casi-imposible-de-ofrecer-seguridad-y-privacidad-en-el-metaverso 

02. DIGITAL TRENDS. ¿Es seguro el metaverso? Los 5 riesgos asociados a esta tecnología. 02 de marzo de 2022 [consultado 23-03-2022]. Disponible en: https://es.digitaltrends.com/sociales/es-seguro-el-metaverso-cinco-riesgos/ 

03. IT DIGITAL SECURITY. Estos son los riesgos de seguridad del metaverso. 24 de diciembre de 2021 [consultado 23-03-2022]. Disponible en: https://www.itdigitalsecurity.es/actualidad/2021/12/estos-son-los-riesgos-de-seguridad-del-metaverso 

04. YAHOO FINANZAS. Una mujer denuncia una violación grupal virtual en el metaverso de Facebook. 06 de febrero de 2022 [consultado 23-03-2022]. Disponible en: https://es.finance.yahoo.com/noticias/mujer-denunci%C3%B3-violada-virtualmente-metaverso-170000579.html 

05. COMPUTER WEEKLY. El despliegue del metaverso conlleva nuevos riesgos y desafíos de seguridad. 16 de febrero de 2022 [consultado 23-03-2022]. Disponible en: https://es.finance.yahoo.com/noticias/mujer-denunci%C3%B3-violada-virtualmente-metaverso-170000579.html 

06. META. Building the Metaverse Responsibly. 27 de septiembre de 2021 [consultado 23-03-2022]. Disponible en: https://about.fb.com/news/2021/09/building-the-metaverse-responsibly/ 

07. META QUEST.  Keeping people safe in VR and beyond. 12 de noviembre de 2021 [consultado 23-03-2022]. Disponible en: https://www.oculus.com/blog/keeping-people-safe-in-vr-and-beyond/ 

08. THE NEW YORK TIMES.  The Metaverse’s Dark Side: Here Come Harassment and Assaults. 30 de diciembre de 2021 [consultado 23-03-2022]. Disponible en: https://www.nytimes.com/2021/12/30/technology/metaverse-harassment-assaults.html 

09. INFORMATION AGE.  David Mahdi, chief strategy officer and CISO advisor at Sectigo, discusses what organisations operating the metaverse must consider when it comes to its security. 15 de marzo de 2022 [consultado 23-03-2022]. Disponible en: https://www.information-age.com/we-need-to-talk-about-metaverse-security-123498964/ 

10. VEREDICT.CO.UK.  Trying to do business with your customers, securely, online? This metaverse security CEO might know something. 09 de diciembre de 2021.  [consultado 23-03-2022]. Disponible en: https://www.verdict.co.uk/trying-to-do-business-with-your-customers-securely-online-this-metaverse-security-ceo-might-know-something/