Hackear la realidad virtual y la aumentada: miedo a corto plazo, peligro a largo

Pienso que la Realidad Virtual (VR) y la Realidad Aumentada (AR) se encuentran en la antesala del ¨¦xito de masas y cambiar¨¢n de manera dr¨¢stica el modo en que usamos la tecnolog¨ªa. Sin embargo, la llegada de las nuevas tecnolog¨ªas trae consigo nuevas superficies de ataque.

La respuesta es simple, la AR y VR plantean un riesgo m¨ªnimo a d¨ªa de hoy y probablemente tambi¨¦n en el pr¨®ximo lustro. No obstante, estas tecnolog¨ªas pueden llegar a ser sumamente peligrosas en la pr¨®xima d¨¦cada. Observemos por qu¨¦.

Peque?a nueva superficie de ataque

La tecnolog¨ªa VR y AR actual ofrece peque?as nuevas superficies de ataque debido a que est¨¢n construidas sobre plataformas ya existentes. En el nivel m¨¢s alto, AR y VR simplemente son, en su mayor¨ªa, mecanismos de visualizaci¨®n y entrada ligados a dispositivos preexistentes. Los equipos u ordenadores de base que potencian la tecnolog¨ªa -ya sea un PC, una consola o un dispositivo m¨®vil¨C no han cambiado mucho. AR y VR no tienen la necesidad conectarse a Internet y tampoco plantean ning¨²n gran peligro que no tenga cualquier otro software que podamos instalar en un ordenador; quiz¨¢, incluso tiene menos riesgo que un juego conectado a la red.

Informaci¨®n sin importancia

Otro modo en el que VR/AR pueden aumentar su peligrosidad es a trav¨¦s de la recopilaci¨®n de nuevos datos que puedan convertirte en un objetivo m¨¢s valioso. La tecnolog¨ªa VR/AR controla el movimiento de la cabeza del usuario (y en ocasiones sus manos), pero estos datos son poco ¨²tiles para los cibercriminales. Otros datos que los sistemas AR/VR rastrean, como el v¨ªdeo y el audio, contienen riesgos en s¨ª mismos, pero no son exclusivos de estas dos tecnolog¨ªas, ya que la gente lleva compartiendo v¨ªdeo y audio online durante a?os.

Actualmente, los datos relacionados con el seguimiento de movimientos son de baja fidelidad y no proporcionan mucho valor a un atacante o un criminal. Por ejemplo, el seguimiento del movimiento de VR es bastante preciso, pero el valor que tiene para criminal el hecho de conocer d¨®nde se posicionan tu cabeza y tus manos es insignificante.

Actualmente no existe manera de rentabilizar un ataque VR

Incluso con estos inconvenientes, los ataques dirigidos a la tecnolog¨ªa VR/AR podr¨ªan encontrar alguna manera de ser rentabilizados en t¨¦rminos econ¨®micos, como por ejemplo a trav¨¦s de la ingenier¨ªa social. Sin embargo, y afortunadamente para el usuario, poco dinero criminal se puede hacer con el uso que la mayor¨ªa hace de AR/VR.

Hoy en d¨ªa, la VR es mayoritariamente empleada en el ¨¢mbito del gaming. Pero en el momento en que los usuarios de los videojuegos esperan encontrarse en un mundo de fantas¨ªa alejado de la realidad, hay pocas oportunidades de que los atacantes empleen la ingeniera social para alterar la tecnolog¨ªa VR.

Por otro lado, la AR actualmente existe en forma de productos experimentales como Google Glass y Hololens, o en novedades como Pokemon GO. Hasta que la tecnolog¨ªa AR no se convierta en una herramienta ¨²til para el d¨ªa a d¨ªa, no ser¨¢ lo suficientemente fiable para el p¨²blico, lo que significa que los atacantes no tendr¨¢n la oportunidad de enga?arnos. En conclusi¨®n, la realidad virtual y la aumentada no suponen, de momento, un objetivo lo suficientemente importante para los atacantes¡­ todav¨ªa.

Presente seguro, futuro potencialmente peligroso

Hasta ahora, se ha ofrecido una imagen relativamente segura de AR/VR que, con total seguridad, ser¨¢ v¨¢lida para los pr¨®ximos cinco a?os. Sin embargo, a medida que estas tecnolog¨ªas mejoren y se hagan m¨¢s comunes, representar¨¢n un riesgo mayor, especialmente la realidad aumentada. A continuaci¨®n, ofrezco algunos ejemplos de c¨®mo AR/VR pueden ser hackeadas en el futuro.

1.Datos de seguimiento m¨¢s precisos que permiten ataques m¨¢s peligrosos

Imaginemos el futuro del comercio online. Esto podr¨ªa convertirse en una experiencia plena de VR, donde los usuarios, literalmente, navegan por un escaparate de la tienda de manera virtual, interactuando con los productos e incluso pudiendo probarlos en modo avatar. Por supuesto, el programa empleado conoce la tarjeta con la que el cliente efectuar¨¢ el pago, por lo que cuando se compre un art¨ªculo a domicilio, ¨¦ste puede ser procesado y enviado de manera autom¨¢tica. No obstante, para una mayor seguridad, las tiendas online podr¨ªan hacer que el usuario insertar¨¢ de manera virtual alg¨²n tipo de pin o c¨®digo con el que verificar la tarjeta de cr¨¦dito o de d¨¦bito que se est¨¢ utilizando.

En el mundo virtual, un usuario puede hacer esto como si lo hiciera en el mundo real, usando sus dedos para escribir el c¨®digo en un teclado virtual (en el aire desde la perspectiva del usuario). Sin embargo, al realizarlo de esta manera, significa que el sistema debe grabar y transmitir los datos mostrando como los dedos escriben o teclean el pin. Si un atacante puede capturar estos datos, tienen todo lo necesario para recrear el pin del usuario (y presumiblemente, tambi¨¦n tendr¨ªan la manera de capturar los datos digitales de la tarjeta).

El futuro de los auriculares AR/VR tambi¨¦n puede incluir, por diversas razones, el seguimiento de los ojos (una de ellas es para representar el mundo virtual desde la perspectiva adecuada). Este seguimiento de datos de la vista puede proporcionar un valor extra a los agentes maliciosos. El saber en todo momento lo que un usuario est¨¢ viendo puede revelar informaci¨®n sumamente valiosa al atacante. Por ejemplo, si un usuario est¨¢ visitando una tienda online, los datos de seguimiento de los ojos mostrar¨ªan aquello en lo que la persona est¨¢ m¨¢s interesada. Los vendedores ya est¨¢n aplicando diversas f¨®rmulas de codificaci¨®n web para monitorizar el scroll y los clics, y as¨ª averiguar los h¨¢bitos de comprar y los intereses del cliente. Los atacantes que capturan esta serie de datos podr¨ªan imitar las acciones del usuario, as¨ª como la recreaci¨®n del pin manual.

2.Deformaci¨®n de la realidad aumentada

En el futuro, los usuarios podr¨¢n emplear alg¨²n tipo de dispositivo de AR que recubra la parte superior de la cabeza con una pantalla digital (HUD) sobre su campo real de visi¨®n. Las manos se podr¨ªan usar para gesticular y fijar las pantallas del ordenador y los navegadores a distintos muros del mundo real. Las se?ales de l¨ªmite de velocidad virtual podr¨ªan aparecer para advertir a los conductores de velocidades excesivas. La informaci¨®n de contacto podr¨ªa recomendar a los usuarios a personas que quiz¨¢s conozcan (o incluso informaci¨®n inicial para interactuar por primera vez). Un usuario podr¨ªa incluso obtener informaci¨®n instant¨¢nea de las calor¨ªas al seleccionar un alimento en el supermercado. A medida que el p¨²blico comience a usar la tecnolog¨ªa AR con mayor asiduidad, este tipo de informaci¨®n parecer¨¢ m¨¢s realista, haciendo que los usuarios tengan mayor confianza en ella. Sin embargo, si un atacante es capaz de hackear estos dispositivos, tendr¨¢ una gran probabilidad de contaminar dichos dispositivos y provocar que llegue distorsionada la informaci¨®n final al usuario poni¨¦ndole en una situaci¨®n comprometida.

Por ejemplo, ?qu¨¦ ocurre cuando un atacante quiere da?ar a alguien? Imaginos a una persona conduciendo por una ciudad desconocida para ella. Sin saberlo, esta persona se est¨¢ acercando a una curva cerrada en la autopista. El tramo tiene una se?al de l¨ªmite de velocidad que le dice al conductor que ha de reducir a 25 kil¨®metros por hora debido a la curva. Si un atacante pudiera hacerse con el control del sistema AR del conductor, podr¨ªa cambiar el letrero de 25k/h a 60k/h, poniendo as¨ª al conductor en una situaci¨®n de alto riesgo.

Y esto es solo el comienzo de lo que podr¨ªan hacer si el ser humano confiara su ¡°programaci¨®n¡± en AR HUD. Francamente, una vez que la tecnolog¨ªa AR avance lo suficiente como para sobreponer cualquier cosa que veamos con CGI en tiempo real, y utilicemos AR como un ¡°sentido¡± natural y del cual fiarnos, no existir¨¢ ning¨²n l¨ªmite para que los hackers alteren nuestra realidad.

3.El clon digital de realidad virtual perfecto

El futuro ideal de la VR depende de pocas cosas. En primer lugar, el seguimiento digital de todo el cuerpo, donde literalmente cada movimiento es rastreado de forma precisa y recreado en el espacio digital. En segundo lugar, el avatar digital perfecto. En el futuro, las c¨¢maras y dispositivos que nos controlan crear¨¢n mapas de nuestro espacio f¨ªsico a m¨¢s velocidad y en 3D haciendo una r¨¦plica perfecta en el mundo virtual. Es posible que esto suene a ciencia ficci¨®n, pero est¨¢ m¨¢s cerca de lo que pensamos.

Sin embargo, pensemos en el riesgo que supondr¨ªa si los hackers se apoderaran del modelo en tres dimensiones de una persona y la historia de todos sus movimientos. Cient¨ªficos y animadores ya han dise?ado muchos m¨¦todos para conseguir que una persona suene como se hab¨ªa dicho gracias a la grabaci¨®n previa de su voz. Incluso, pueden alterar el v¨ªdeo de una persona para darle diferentes expresiones y movimientos labiales. De hecho, puede ver aqu¨ª un claro ejemplo de esta pr¨¢ctica ¡°alarmante¡± como el creado por Radio Lab de NPR.

Si bien estos v¨ªdeos falsos no se han perfeccionado a¨²n, imaginemos como VR realiza el seguimiento de datos y precisa modelos en 3D que pueden cambiar esta situaci¨®n. Uno de los indicadores ¨²nicos de un individuo son sus movimientos y sus expresiones f¨ªsicas y verbales. Si se comprometieran, estas particularidades personales podr¨ªan permitir a los hackers confundir a los amigos de una determinada persona o suplantar digitalmente a un usuario.

Conclusi¨®n

Realmente, no debemos preocuparnos por la seguridad AR/VR a d¨ªa de hoy. La mayor¨ªa de la gente solo emplea estas tecnolog¨ªas para el entretenimiento personal y no representan nuevas superficies de ataque. El peor riesgo de la VR actualmente es hacer que el usuario desconozca su entorno f¨ªsico real. Dicho esto, y a medida que estas tecnolog¨ªas maduren, se espera que los criminales se centren en ellas. Hay que tener en cuenta el potencial de las tecnolog¨ªas AR/VR, sin embargo debemos adentrarnos en el futuro con las defensas preparadas.