La Web3, o Internet de tercera generación, está avanzando a pasos agigantados. Su evolución es paralela al interés que despierta, no solo para usuarios, sino también para los ciberdelincuentes, que contarán con la ingeniería social como aliada para perpetrar sus ataques en este nuevo escenario.
La próxima era de Internet parece estar más cerca. La Web3, como se ha venido a denominar esta nueva generación, eleva a un nuevo nivel las interacciones entre usuarios y las relaciones comerciales y sociales. Parte de esta transformación incluye el metaverso que, como entorno 3D virtual facilitará estas conexiones sociales, personales o laborales.
Si bien poco a poco se van conociendo las posibilidades y beneficios que brindará esta nueva generación de Internet en la que se eliminan plataformas, servidores y autorizaciones centralizadas, también surgen las primeras dudas acerca de su seguridad.
La aparición de nuevas amenazas de seguridad es algo que se da por hecho, por lo que las organizaciones ya están poniendo sus miras en la gestión del riesgo antes de migrar de la Web 2.0 a la próxima Web 3.0.
A medida que los proveedores de tecnología trabajan en estos conceptos, investigadores como los de la firma de seguridad Cisco Talos, ya están analizando las potenciales amenazas a las que se enfrentará la Web 3.0 y el metaverso.
La reciente ola de phishing experimentada por los usuarios de OpenSea, en la que se engañó a las víctimas para que firmaran transacciones de contratos maliciosos y entregaran sus NFT, ya da algunas pistas acerca de las formas de ataque que podemos ver con más frecuencia en el futuro.
Nuevos métodos de ingeniería social para la Web3
Y es que, todo apunta que aprovechando esta interrelación y que la identificación en el metaverso puede estar vinculada a billeteras de criptomonedas, o NFT, entre otros, los ciberdelincuentes intensificaran sus ataques haciendo uso de la ingeniería social.
Desde Cisco Talos apuntan que el uso del Servicio de nombres de Ethereum (ENS) y servicios similares utilizados para compactar direcciones de billetera en un formato que se puede recordar fácilmente necesitaría reforzar su seguridad.
Hay que tener en cuenta que estas direcciones podrían utilizarse como palanca para llevar a cabo ataques de phishing, especialmente porque los dominios ENS están registrados en blockchain y no pueden eliminarse fácilmente.
Por tanto, es crucial tener en cuenta que algunos usuarios malintencionados pueden haberse hecho hace tiempo con dominios de una marca comercial para después explotarla para llevar a cabo ataques. El riesgo, por tanto, es evidente ya que el usuario desconoce si realmente es la marca u otra entidad o persona que se ha hecho con ella.
Además, aquellos que registran un dominio ENS pueden usar sus nombres, desanonimizar una dirección y señalar a otros qué fondos tiene un individuo en su billetera de criptomonedas, lo que puede aumentar el riesgo de ser atacado selectivamente por un actor de amenazas.
Asimismo, también es posible conocer sus ciudades de origen, nombres completos y perfiles de redes sociales, lo que brinda a los atacantes una imagen más amplia de las personas a las que interesa dirigir sus ataques de ingeniería social.
Con ello, lo que los investigadores quieren dejar claro es que, hoy por hoy, identificar las identidades del mundo real y sus ubicaciones físicas a partir del dominio ENS, e incluso su cuenta de Twitter es muy fácil.
No cabe duda de que la Web3 es un concepto nuevo y que los usuarios necesitarán tiempo para aprender a estar protegido en este nuevo escenario. Pero también será necesario concienciar y capacitar a las personas para que conozcan cómo mantener su seguridad y evitar que sean víctimas de estafas y fraudes.
Para los expertos de Cisco Talos, la tecnología desconocida a menudo puede llevar a los usuarios a tomar malas decisiones y Web3 no es una excepción. La gran mayoría de los incidentes de seguridad que afectan a los usuarios de Web3 ya provienen de ataques de ingeniería social, algo que seguirá proliferando.
La clonación de carteras, que ya es una amenaza en la práctica, puede convertirse en el método de ataque más popular en el futuro. Esto requiere que las víctimas entreguen su frase semilla, un conjunto de entre 12 y 24 palabras aleatorias, que permite acceder a las criptomonedas asociadas a la billetera. Esta puede solicitarse a través de ingeniería social, actuando como atención al cliente o engañando a los titulares de billeteras en procesos de verificación falsos.
Si bien Web3 aún está en desarrollo, vale la pena tomarse el tiempo para familiarizarse con esta tecnología. Implementar medidas de seguridad básicas, gestores de contraseñas, autenticación multifactor (MFA) y, no entregar nunca las frases semilla, serán medidas a tener muy en cuenta para estar protegidos en la nueva Internet de tercera generación.
