Un metaverso en el que no se pueda confiar también podría estancar el progreso. En nuestra Encuesta sobre el Metaverso 2022, realizada a más de 1,000 ejecutivos y 5,000 consumidores, ambos grupos afirmaron que la ciberseguridad y la privacidad eran las principales preocupaciones que les frenaban a la hora de adoptarlo. El metaverso podría permitir que la ciberdelincuencia existente se recrudeciera y creara nuevos tipos de ella.

Pero el metaverso, impulsado por una infraestructura web3 basada en blockchain, también podría ser el lugar donde encontrar soluciones, como protocolos y protección cibernética mejorados, la posibilidad de que los usuarios controlen qué datos se comparten y un mejor proceso de verificación de los mismos.

Comprender a lo qué se enfrenta

Aunque hay muchos tipos de estafas relevantes al metaverso y al mundo web3 descentralizado, las estafas de phishing y de ingeniería social son algunas de las más frecuentes. Los delitos son los mismos, pero el metaverso es terreno fértil para formas novedosas y poco conocidas de dirigirse a las víctimas y robarles sus activos.

Veamos cuatro vectores de ataque comunes utilizados actualmente por los estafadores.

Mensajes fraudulentos e ingeniería social: Esto adopta muchas formas, como sitios web y cuentas de redes sociales no oficiales, correos electrónicos fraudulentos, asistencia técnica falsa y mensajería controlada por bots en plataformas de gestión de comunidades utilizadas para facilitar las comunicaciones entre consumidores y administradores de entornos. Aunque los entornos metaversos consisten principalmente en comunicaciones de voz en tiempo real, estos entornos también pueden incluir funcionalidades de chat y mensajes instantáneos basados en texto. Estas tácticas fraudulentas han sido eficaces para engañar a las víctimas para que hagan clic en enlaces o archivos adjuntos maliciosos, interactúen con formularios web o contratos inteligentes fraudulentos, o divulguen información confidencial. 

El metaverso también ha introducido la "ingeniería social 3D", en la que los estafadores llegan a través de un señuelo que se parece mucho a un dominio conocido y adoptan la forma de un avatar 3D diseñado para hacerse pasar por compañeros de trabajo u otros contactos conocidos. La idea es conseguir que las víctimas compartan información y accesos confidenciales. A principios de este año, el servidor de un entorno metaverso, con transacciones respaldadas por blockchain, se vio comprometido y se enviaron mensajes fraudulentos a los miembros sobre un "sorteo exclusivo". Cientos de miles de activos digitales fueron sustraídos de las carteras de miembros desprevenidos que navegaron al sitio web de imitación contenido en el mensaje e interactuaron con el contrato inteligente fraudulento del atacante.

Airdrops y regalos maliciosos: Las empresas legítimas utilizan los airdrops como una forma de recompensar a sus inversores o primeros adeptos y como una herramienta de marketing para incentivar a los usuarios a comprar productos y servicios disponibles en sus plataformas. Muchos propietarios de proyectos suelen dar sus tokens de criptomoneda nativos o un NFT a sus inversores permitiéndoles navegar a su sitio web, conectar sus carteras digitales, firmar un contrato inteligente y reclamar el airdrop. 

En muchos casos, los estafadores se aprovechan de este método para engañar a individuos inadvertidos y hacerles dar clic en enlaces maliciosos o firmar contratos inteligentes fraudulentos que dan a los ciberdelincuentes pleno acceso a los activos digitales de sus víctimas, que desaparecen instantes después. En un caso ocurrido a principios de este año, una estafa maliciosa de "airdrop phishing" llevada a cabo a través de cuentas de redes sociales comprometidas consiguió robar activos digitales por valor de alrededor de un millón de dólares.

Seed phrase phishing (frase semilla): Una frase semilla es lo que da a los usuarios acceso a sus claves privadas sobre sus activos digitales. Los estafadores obtienen la frase semilla de un usuario para hacerse con el control de la cartera digital y los activos digitales de la víctima, que luego utilizan para realizar transacciones supuestamente en su nombre. Tenga en cuenta que, si la frase semilla de un usuario se almacena fuera de línea, la única forma de que un atacante la obtenga es si el usuario se la da, o si se la roban del espacio físico en el que se encuentra la frase semilla (por ejemplo, en un escritorio de la casa del usuario). 

Aparte de la ingeniería social, otra forma común en que los estafadores llevan a cabo esta estafa de phishing es copiando sitios web legítimos que requieren y piden a las víctimas que creen una cuenta e "inicien sesión" utilizando su frase semilla. A finales de 2021, se crearon sitios web de imitación de varias carteras digitales populares en los que los estafadores consiguieron robar medio millón de dólares a través de una campaña de phishing con una frase semilla. Como a menudo se necesita un monedero digital para interactuar con entornos metaversos, esta campaña pudo aprovecharse de los usuarios primerizos. Además, algunas aplicaciones de monedero móvil pueden guardar por defecto una copia de las claves privadas de un usuario en una copia de seguridad en la nube, lo que aumenta aún más el rango de ataque para que los individuos maliciosos intenten aprovecharse.

Ice phishing: Se trata de un novedoso esquema que engaña a las personas para que asignen o deleguen la aprobación de su dirección de criptomoneda al atacante. Esto ocurre cuando un atacante cambia la dirección de las víctimas por la de los atacantes inyectando un script malicioso en un contrato inteligente y esperando a que la víctima autorice una transacción. Una vez que esto ocurre, el contrato inteligente permite al atacante realizar transacciones en nombre de la víctima.  

Debido a la complejidad general del lenguaje de codificación de los contratos inteligentes, es difícil para un usuario inexperto darse cuenta de que un contrato inteligente ha sido manipulado. Esto se complica aún más por el hecho de que las interfaces de las ventanas que aparecen en la pantalla de un usuario rara vez proporcionan una descripción clara, comprensible y con un lenguaje sencillo de lo que la transacción permite hacer al contrato inteligente una vez autorizada. Esto aumenta la probabilidad de que una persona autorice una transacción que no entiende.  

En un caso, los estafadores crearon sitios web falsos asociados a un entorno metaverso (en este caso, un sitio de Internet en 3D) y, mediante anuncios web, pagaron para que su sitio metaverso fraudulento apareciera en los primeros puestos de los resultados de búsqueda. Una vez en el sitio de imitación, los usuarios conectaban sus monederos y firmaban lo que pensaban que era un acuerdo inofensivo que les permitía acceder a su cuenta del metaverso, pero en realidad estaban firmando un contrato que cambiaba el estado y daba a los estafadores acceso a sus monederos digitales.

Cómo proteger a la empresa y a los clientes

Dado que el espacio web3 y metaverso es relativamente nuevo, hay poca o ninguna regulación que proteja a los consumidores, y hay pocos recursos para las víctimas a las que se les han robado activos digitales; y es poco lo que se exige a las empresas que operan en este espacio. Aun así, hay ciertas medidas proactivas que pueden ayudar a las organizaciones a identificar y protegerse a sí mismas y a sus clientes contra este tipo de estafas.

• Centrarse en los controles. Mantener y aplicar controles para determinar la validez de los mensajes recibidos de terceros (y marcar o bloquear los maliciosos) es especialmente crítico, ya que los mensajes fraudulentos también pueden proceder de cuentas legítimas que han sido comprometidas y tomadas. Es probable que el desarrollo comercial y el despliegue de este tipo de controles sea un área en la que se siga innovando a medida que aumenten la adopción y la actividad de los usuarios y evolucione la postura de seguridad de los entornos metaversos. Un control básico que puede ser eficaz es la utilización de la autenticación de dos o múltiples factores. Puede ser un control preventivo eficaz para protegerse de los riesgos de apropiación de cuentas de redes sociales y de correo electrónico.

• Aplicar la moderación de contenidos. Para mitigar el riesgo de fraude asociado a un proyecto metaverso, las empresas pueden implantar una función imparcial de moderación o gobernanza de contenidos en sus plataformas de gestión de comunidades y en cualquier función de mensajería de texto dentro del entorno, si la hubiera. Esto puede llevar a cabo la diligencia debida en los contribuyentes del proyecto, incluyendo la eliminación o prohibición de usuarios abusivos que no siguen las reglas de la comunidad, la identificación y eliminación de mensajes maliciosos o engañosos, y la realización de escaneos regulares de IP y de red, entre otras funciones.

• Fomentar la higiene correcta de los monederos. Esto significa utilizar varios monederos, cada uno de ellos con una finalidad específica. A nivel de consumidor, es práctica común que un usuario tenga un "monedero de acuñación" (monedero caliente), un monedero de venta (monedero tibio) y un monedero bóveda (monedero de hardware/monedero frío). El monedero de acuñación es el que más interactúa con la cadena de bloques, pero solo debe contener artículos de poco valor y la cantidad suficiente de criptomoneda para acuñar un activo (por ejemplo, un NFT que represente un avatar, personaje u objeto para llevar puesto) con el fin de limitar el riesgo de pérdidas financieras. Los monederos de venta se utilizan normalmente para interactuar con intercambios y mercados, mientras que un monedero bóveda contiene los activos digitales de alto valor de un usuario. Los monederos hardware son una de las formas más seguras de almacenar activos digitales, ya que el monedero digital no está conectado a Internet y la clave privada no se almacena en cadena.

  A nivel de empresa, existen varias plataformas de custodia que puede utilizar para personalizar la experiencia del monedero (para gestionar activos digitales corporativos) y alinearla con sus objetivos empresariales. Por ejemplo, un monedero corporativo puede configurarse como monedero multi-sig o multi-party computational (MPC), requiriendo la autorización y firma de múltiples direcciones de monedero designadas (usuarios) antes de ejecutar una transacción en la blockchain. Del mismo modo, las empresas que crean o patrocinan espacios metaversos pueden desear educar a los consumidores sobre los beneficios de mantener múltiples carteras para ayudar a reducir el riesgo y potencialmente ayudar a facilitar la configuración de dicha estructura de múltiples carteras para promover la higiene de la cartera entre los usuarios.

• Mantenerse al día y ser transparente. Por último, es difícil prevenir un ataque que no se ve venir. Mantenerse al día sobre las nuevas estafas y proporcionar educación y comunicación periódicas a las partes interesadas, en particular a los empleados y clientes, sobre la protección de los activos y el reconocimiento y la respuesta a las amenazas. Esto incluye verificar un enlace antes de hacer clic en él, verificar el remitente de un enlace, hacer una investigación independiente sobre los proyectos y plataformas metaverso y web3, ser consciente de los tipos de contactos inteligentes que está firmando, y no interactuar con mensajes directos entrantes, sino más bien navegar a la página de "enlaces oficiales" de un proyecto antes de participar.