Hackear la realidad virtual y la aumentada: miedo a corto plazo, peligro a largo

Pienso que la Realidad Virtual (VR) y la Realidad Aumentada (AR) se encuentran en la antesala del éxito de masas y cambiarán de manera drástica el modo en que usamos la tecnología. Sin embargo, la llegada de las nuevas tecnologías trae consigo nuevas superficies de ataque.

La respuesta es simple, la AR y VR plantean un riesgo mínimo a día de hoy y probablemente también en el próximo lustro. No obstante, estas tecnologías pueden llegar a ser sumamente peligrosas en la próxima década. Observemos por qué.

Pequeña nueva superficie de ataque

La tecnología VR y AR actual ofrece pequeñas nuevas superficies de ataque debido a que están construidas sobre plataformas ya existentes. En el nivel más alto, AR y VR simplemente son, en su mayoría, mecanismos de visualización y entrada ligados a dispositivos preexistentes. Los equipos u ordenadores de base que potencian la tecnología -ya sea un PC, una consola o un dispositivo móvil– no han cambiado mucho. AR y VR no tienen la necesidad conectarse a Internet y tampoco plantean ningún gran peligro que no tenga cualquier otro software que podamos instalar en un ordenador; quizá, incluso tiene menos riesgo que un juego conectado a la red.

Información sin importancia

Otro modo en el que VR/AR pueden aumentar su peligrosidad es a través de la recopilación de nuevos datos que puedan convertirte en un objetivo más valioso. La tecnología VR/AR controla el movimiento de la cabeza del usuario (y en ocasiones sus manos), pero estos datos son poco útiles para los cibercriminales. Otros datos que los sistemas AR/VR rastrean, como el vídeo y el audio, contienen riesgos en sí mismos, pero no son exclusivos de estas dos tecnologías, ya que la gente lleva compartiendo vídeo y audio online durante años.

Actualmente, los datos relacionados con el seguimiento de movimientos son de baja fidelidad y no proporcionan mucho valor a un atacante o un criminal. Por ejemplo, el seguimiento del movimiento de VR es bastante preciso, pero el valor que tiene para criminal el hecho de conocer dónde se posicionan tu cabeza y tus manos es insignificante.

Actualmente no existe manera de rentabilizar un ataque VR

Incluso con estos inconvenientes, los ataques dirigidos a la tecnología VR/AR podrían encontrar alguna manera de ser rentabilizados en términos económicos, como por ejemplo a través de la ingeniería social. Sin embargo, y afortunadamente para el usuario, poco dinero criminal se puede hacer con el uso que la mayoría hace de AR/VR.

Hoy en día, la VR es mayoritariamente empleada en el ámbito del gaming. Pero en el momento en que los usuarios de los videojuegos esperan encontrarse en un mundo de fantasía alejado de la realidad, hay pocas oportunidades de que los atacantes empleen la ingeniera social para alterar la tecnología VR.

Por otro lado, la AR actualmente existe en forma de productos experimentales como Google Glass y Hololens, o en novedades como Pokemon GO. Hasta que la tecnología AR no se convierta en una herramienta útil para el día a día, no será lo suficientemente fiable para el público, lo que significa que los atacantes no tendrán la oportunidad de engañarnos. En conclusión, la realidad virtual y la aumentada no suponen, de momento, un objetivo lo suficientemente importante para los atacantes… todavía.

Presente seguro, futuro potencialmente peligroso

Hasta ahora, se ha ofrecido una imagen relativamente segura de AR/VR que, con total seguridad, será válida para los próximos cinco años. Sin embargo, a medida que estas tecnologías mejoren y se hagan más comunes, representarán un riesgo mayor, especialmente la realidad aumentada. A continuación, ofrezco algunos ejemplos de cómo AR/VR pueden ser hackeadas en el futuro.

1.Datos de seguimiento más precisos que permiten ataques más peligrosos

Imaginemos el futuro del comercio online. Esto podría convertirse en una experiencia plena de VR, donde los usuarios, literalmente, navegan por un escaparate de la tienda de manera virtual, interactuando con los productos e incluso pudiendo probarlos en modo avatar. Por supuesto, el programa empleado conoce la tarjeta con la que el cliente efectuará el pago, por lo que cuando se compre un artículo a domicilio, éste puede ser procesado y enviado de manera automática. No obstante, para una mayor seguridad, las tiendas online podrían hacer que el usuario insertará de manera virtual algún tipo de pin o código con el que verificar la tarjeta de crédito o de débito que se está utilizando.

En el mundo virtual, un usuario puede hacer esto como si lo hiciera en el mundo real, usando sus dedos para escribir el código en un teclado virtual (en el aire desde la perspectiva del usuario). Sin embargo, al realizarlo de esta manera, significa que el sistema debe grabar y transmitir los datos mostrando como los dedos escriben o teclean el pin. Si un atacante puede capturar estos datos, tienen todo lo necesario para recrear el pin del usuario (y presumiblemente, también tendrían la manera de capturar los datos digitales de la tarjeta).

El futuro de los auriculares AR/VR también puede incluir, por diversas razones, el seguimiento de los ojos (una de ellas es para representar el mundo virtual desde la perspectiva adecuada). Este seguimiento de datos de la vista puede proporcionar un valor extra a los agentes maliciosos. El saber en todo momento lo que un usuario está viendo puede revelar información sumamente valiosa al atacante. Por ejemplo, si un usuario está visitando una tienda online, los datos de seguimiento de los ojos mostrarían aquello en lo que la persona está más interesada. Los vendedores ya están aplicando diversas fórmulas de codificación web para monitorizar el scroll y los clics, y así averiguar los hábitos de comprar y los intereses del cliente. Los atacantes que capturan esta serie de datos podrían imitar las acciones del usuario, así como la recreación del pin manual.

2.Deformación de la realidad aumentada

En el futuro, los usuarios podrán emplear algún tipo de dispositivo de AR que recubra la parte superior de la cabeza con una pantalla digital (HUD) sobre su campo real de visión. Las manos se podrían usar para gesticular y fijar las pantallas del ordenador y los navegadores a distintos muros del mundo real. Las señales de límite de velocidad virtual podrían aparecer para advertir a los conductores de velocidades excesivas. La información de contacto podría recomendar a los usuarios a personas que quizás conozcan (o incluso información inicial para interactuar por primera vez). Un usuario podría incluso obtener información instantánea de las calorías al seleccionar un alimento en el supermercado. A medida que el público comience a usar la tecnología AR con mayor asiduidad, este tipo de información parecerá más realista, haciendo que los usuarios tengan mayor confianza en ella. Sin embargo, si un atacante es capaz de hackear estos dispositivos, tendrá una gran probabilidad de contaminar dichos dispositivos y provocar que llegue distorsionada la información final al usuario poniéndole en una situación comprometida.

Por ejemplo, ¿qué ocurre cuando un atacante quiere dañar a alguien? Imaginos a una persona conduciendo por una ciudad desconocida para ella. Sin saberlo, esta persona se está acercando a una curva cerrada en la autopista. El tramo tiene una señal de límite de velocidad que le dice al conductor que ha de reducir a 25 kilómetros por hora debido a la curva. Si un atacante pudiera hacerse con el control del sistema AR del conductor, podría cambiar el letrero de 25k/h a 60k/h, poniendo así al conductor en una situación de alto riesgo.

Y esto es solo el comienzo de lo que podrían hacer si el ser humano confiara su “programación” en AR HUD. Francamente, una vez que la tecnología AR avance lo suficiente como para sobreponer cualquier cosa que veamos con CGI en tiempo real, y utilicemos AR como un “sentido” natural y del cual fiarnos, no existirá ningún límite para que los hackers alteren nuestra realidad.

3.El clon digital de realidad virtual perfecto

El futuro ideal de la VR depende de pocas cosas. En primer lugar, el seguimiento digital de todo el cuerpo, donde literalmente cada movimiento es rastreado de forma precisa y recreado en el espacio digital. En segundo lugar, el avatar digital perfecto. En el futuro, las cámaras y dispositivos que nos controlan crearán mapas de nuestro espacio físico a más velocidad y en 3D haciendo una réplica perfecta en el mundo virtual. Es posible que esto suene a ciencia ficción, pero está más cerca de lo que pensamos.

Sin embargo, pensemos en el riesgo que supondría si los hackers se apoderaran del modelo en tres dimensiones de una persona y la historia de todos sus movimientos. Científicos y animadores ya han diseñado muchos métodos para conseguir que una persona suene como se había dicho gracias a la grabación previa de su voz. Incluso, pueden alterar el vídeo de una persona para darle diferentes expresiones y movimientos labiales. De hecho, puede ver aquí un claro ejemplo de esta práctica “alarmante” como el creado por Radio Lab de NPR.

Si bien estos vídeos falsos no se han perfeccionado aún, imaginemos como VR realiza el seguimiento de datos y precisa modelos en 3D que pueden cambiar esta situación. Uno de los indicadores únicos de un individuo son sus movimientos y sus expresiones físicas y verbales. Si se comprometieran, estas particularidades personales podrían permitir a los hackers confundir a los amigos de una determinada persona o suplantar digitalmente a un usuario.

Conclusión

Realmente, no debemos preocuparnos por la seguridad AR/VR a día de hoy. La mayoría de la gente solo emplea estas tecnologías para el entretenimiento personal y no representan nuevas superficies de ataque. El peor riesgo de la VR actualmente es hacer que el usuario desconozca su entorno físico real. Dicho esto, y a medida que estas tecnologías maduren, se espera que los criminales se centren en ellas. Hay que tener en cuenta el potencial de las tecnologías AR/VR, sin embargo debemos adentrarnos en el futuro con las defensas preparadas.