È ormai noto che qualsiasi novità in ambito tech sia uno spunto che i cyber criminali colgono per ampliare il proprio raggio d’azione, e indirettamente i propri guadagni. Non c’è motivo di pensare che il Metaverso sia esente da questa regola ormai assodata. Il Metaverso è una rete di mondi virtuali connessi che si avvalgono di tecnologie quali la realtà virtuale (VR) e/o la realtà aumentata (AR) per offrire agli utenti un'esperienza più coinvolgente. Sebbene il concetto sia noto da trent'anni circa (viene dal romanzo di fantascienza "Snow Crash") e costituisca le basi di piattaforme come Second Life, il Metaverso è andato acquisendo popolarità negli ultimi mesi grazie a iniziative come Meta Quest 2, i dispositivi per la realtà virtuale (VR) promossi da Meta, ovvero il nome attuale della società che prima era Facebook.

I vantaggi e le opportunità offerti da questi mondi virtuali sono enormi e vanno oltre il puro intrattenimento; possono infatti essere utilizzati anche per aumentare la produttività in ambienti lavorativi da remoto e per attività di formazione (e-learning). Tuttavia, come qualsiasi strumento connesso, anche questi portano con sé potenziali minacce per la sicurezza informatica. Vediamone alcune:

Phishing

Il Metaverso e altre questioni correlate possono essere utilizzati dagli hacker come “esca” per indirizzare gli utenti verso pagine con contenuti malevoli. Come sempre, la formazione in materia di sicurezza informatica gioca un ruolo cruciale nell'evitarci di cadere vittime di truffe di social engineering, ma da solo non è sufficiente, è necessario compiere altri passi. In base a un sondaggio condotto da Pulse su esperti di sicurezza informatica, il 35% ritiene che il modo migliore di proteggere le aziende dal phishing nel Metaverso sia implementare soluzioni di sicurezza per proteggere dipendenti e utenti, mentre il 31% dichiara anche che occorre training per i dipendenti e il 18% afferma che gli utenti necessitano di formazione.

Corey Nachreiner, CSO WatchGuard Technologies

Registrazione dei movimenti degli utenti

Un problema di sicurezza informatica relativamente nuovo del Metaverso è che i suoi dispositivi registrano dati degli utenti che finora, in genere, non venivano memorizzati da altri sistemi, ad esempio i movimenti di corpo, testa, mani e perfino degli occhi, i quali vengono raccolti tramite i visori per la realtà virtuale. La combinazione di questi movimenti costituisce una serie di dati univoca per ogni persona, che può fungere da firma. Per questo motivo, alcune aziende stanno già svolgendo ricerche utilizzando questi parametri biometrici in tecnologie di autenticazione per gli spazi del Metaverso o anche per finalità commerciali, come fa Alexa registrando le conversazioni degli utenti. Come altri dati personali degli utenti, anche queste registrazioni dei parametri corporei richiedono un trattamento e una protezione speciali.

Registrazione dell'ambiente fisico dell'utente

I sistemi di tracciamento AR/VR interno-esterno si servono di videocamere e sensori da varie angolazioni, posti sul casco del visore, e di tecniche simili alla fotogrammetria, per ottenere una visione tridimensionale dello spazio in cui è immerso l'utente. Il software unisce l'ambiente virtuale allo spazio fisico effettivo dell'utente. Il problema consiste, in pratica, nel fatto che questi sensori generano mappe 3D di ciò che lo circonda, e può trattarsi quindi anche della sua casa o ufficio. Teoricamente queste mappe non dovrebbero uscire dai dispositivi stessi, ma è probabile che le aziende finiscano per registrarle in un modo o nell'altro. Questo può portare a situazioni che non solo comportano rischi per la sicurezza informatica, ma anche per la sicurezza fisica degli utenti: ladri e altri malviventi potrebbero avvalersi di queste mappe se, ad esempio, venissero messe in vendita sul Dark web.

Impersonificazione

Gli utenti possono accedere agli spazi del Metaverso con il loro vero nome o un avatar ma, in entrambi i casi, criminali informatici potrebbero venire in possesso delle loro credenziali di accesso e spacciarsi per loro. Questo potrebbe essere particolarmente pericoloso negli ambienti lavorativi del Metaverso, in quanto potrebbero carpire dati sensibili, oppure in scenari in cui avvengono acquisti o transazioni finanziarie.

A fronte di queste minacce, le piattaforme del Metaverso hanno il dovere di proteggere i dati degli utenti. Ma gli utenti e le organizzazioni che utilizzano questi spazi non possono fidarsi ciecamente del fatto che i propri dati non verranno utilizzati da terze parti o anche esposti a violazioni. Per questo motivo, occorre fare estrema attenzione alle informazioni che si condividono in questi luoghi virtuali.

Bisogna anche essere assolutamente consapevoli di come si accede ai mondi virtuali per evitare casi di impersonificazione. Le aziende devono attuare rigorosi controlli dell'acceso agli spazi delle piattaforme del Metaverso, nel rispetto delle policy stabilite dalla dirigenza, dalle Risorse umane o dall'IT e con credenziali collegate all'autenticazione a più fattori (MFA) avanzata e sicura.

Corey Nachreiner è CSO WatchGuard Technologies