Nel nuovo metaverso è necessario prendere le dovute precauzioni per mettere al sicuro la privacy e la propria identità digitale
Si sente sempre più parlare di metaverso, cioè l’Internet del futuro in cui interagiremo attraverso avatar in mondi totalmente digitali. La parola metaverso nasce dalla combinazione delle parole meta e universo, è stato utilizzato per la prima volta dallo scrittore Stevenson nel suo romanzo Snow Crash, per indicare l’ambiente virtuale frutto dello sviluppo di Internet. Al suo interno, gli utenti possono svolgere quasi tutte le stesse azioni del mondo reale grazie agli avatar: comunicare, lavorare, fare acquisti e informarsi. Per la sua realizzazione, vengono sfruttate le tecnologie di realtà aumentata (AR) e realtà virtuale (VR) per la creazione delle identità digitali degli utenti.
Gli utenti devono tenere in seria considerazione l’impatto che le minacce informatiche possono avere sulla privacy e sulla propria identità digitale
La tutela della privacy consiste proprio nel controllo dei propri dati personali e di come gli stessi vengono utilizzati da terzi. I cybercriminali potrebbero utilizzarli per aggirare le proprie vittime, estorcere o rubare loro denaro attraverso i dati bancari o delle carte di credito collegate agli account.
Metaverso: com’è fatto e cosa aspettarsi
Il metaverso è possibile grazie all’utilizzo di tecnologie di realtà aumentata (AR) e realtà virtuale (VR), termini apparentemente molto simili ma con un significato molto differente. La realtà aumentata integra nel mondo reale elementi digitali. L’esempio più celebre è il gioco Pokémon Go, che si serve dello schermo dello smartphone e della sua fotocamera per simulare la presenza di oggetti, animati e non, nell’ambiente circostante. La realtà virtuale, invece, non ha nessuna correlazione col mondo reale ed è costituita da un ambiente completamente fittizio. Per accedere ad esso è necessario ricorrere ad appositi strumenti come casco o visore.
A dirla tutta, esiste anche un’ulteriore variante: si chiama realtà mista (MR) e rappresenta una sorta di evoluzione della realtà aumentata. Essa consente ad oggetti 3D virtuali di interagire fisicamente con l’ambiente circostante. Per un’immagine più chiara di questo tipo di scenario, si può pensare ad un Pokémon che salta sul divano presente nel proprio salotto, esattamente come farebbero un gatto o un cane.
I colossi dell’informatica stanno investendo molte risorse in queste tecnologie, per trasformare questi spazi negli ambienti abituali in cui le persone possono interagire fra loro e acquistare oggetti che non hanno nessun valore. Fra gli esempi attualmente più illustri di metaverso, figurano MMORPG, videogioco di ruolo che consente alle persone di giocare insieme interpretando dei personaggi, e i mondi tridimensionali di Second Life e Active Worlds. Anche Facebook sembra voler intraprendere questa strada, come confermato da recente cambio di nome in Meta.
Quali sono i rischi per la privacy
Le tecnologie AR e VR possono mettere entrambe a serio rischio la privacy degli utenti, ma lo fanno in modo leggermente differente, proprio in virtù del loro diverso funzionamento. Entrambe sono in grado di raccogliere dati e informazioni molto riservate:
- L’AR registra le informazioni sull’identità e monitora le azioni dell’utente
- La VR registra dati biometrici, quali impronte digitali, scansione della retina, forma del viso e così via
In particolare, nel caso in cui l’hacker dovesse accedere ad un dispositivo AR, potrebbe utilizzare lo spoofing, per impersonare un’altra persona e spingere l’utente a fare qualcosa, o lo sniffing, per intercettare i dati in transito. Altra minaccia frequente è il social engineering, il cui nome deriva proprio dal comportamento dell’attaccante che si comporta come un ingegnere sociale: analizza la sua vittima, raccoglie tutte le informazioni necessarie e utilizza le sue debolezze per passare all’azione vera e propria.
Ciò potrebbe consistere nell’infettare il dispositivo della vittima con malware, per carpire dati riservati, ransomware, per chiedere il pagamento di un riscatto, o nel furto delle credenziali e dei dati di pagamento. Fra le varianti più comuni degli attacchi di ingegneria sociale, figurano il catfishing, che sfrutta un’identità falsa per raggirare la persona, lo stalking, il cui scopo è quello di perseguitarla, ed il doxing, con cui si diffondono online le informazioni private o altri dati sensibili.
Da non sottovalutare c’è poi l’hijacking, tecnica con la quale i criminali modificano i pacchetti del protocollo TCP/IP per dirottare il malcapitato su una pagina web differente da quella cercata. Se da una parte ciò gli permette di incrementare le visite, e quindi i guadagni pubblicitari, dall’altra può spingere la vittima ad inserire password o informazioni riservate.
Oltre alla perdita di ingenti somme di denaro, le conseguenze per chi sottovaluta queste minacce possono comportare il furto di uno dei beni più preziosi: la propria identità digitale. I cybercriminali potrebbero per esempio impadronirsi dell’avatar utilizzato dalla vittima nel metaverso ed utilizzarlo per chiedere un riscatto o per compiere delle frodi, che avrebbero un impatto negativo anche sulla reputazione dell’individuo. Inoltre, questi account vengono spesso utilizzati per acquistare oggetti virtuali, talvolta molto costosi, ed è possibile rubare criptovaluta dai portafogli ad essi collegati.
D’altra parte gli hacker possono servirsi dei dati biometrici catturati dai visori VR per ottenere PIN e password digitati con le dita o creare dei deepfake tramite le tecnologie di apprendimento automatico, che possono anche registrare la forma del viso. Ciò gli consentirebbe di compiere pericolosi attacchi ransomware e di ingegneria sociale con maggiore efficacia.
Come proteggere la propria identità digitale
Anche se gli hacker sono in grado di sfruttare metodi diversi per accedere alle informazioni riservate, esistono alcune best practice per mantenere al sicuro privacy e identità digitale. La prima appare un po’ scontata ma è bene ribadirlo:
non bisogna mai divulgare informazioni troppo personali che non è necessario divulgare
Per quanto possano apparire noiose, bisognerebbe sempre leggere le politiche sulla privacy e la pagina “termini e condizioni”, quantomeno per essere consapevoli di come le aziende, edin particolare le piattaforme che sfruttano le tecnologie AR o VR, conservino ed utilizzino i nostri dati. Non è escluso, infatti, che essi vengano condivisi con aziende di terze parti senza che l’utente se ne renda conto.
Altra buona pratica è quella di utilizzare un servizio VPN e adoperare la rete privata virtuale per mantenere al sicuro l’identità e rendere impossibile a chiunque tracciare i propri movimenti sul Web. Grazie al suo utilizzo, verrà creato un tunnel virtuale crittografato fra il dispositivo da cui si naviga ed Internet. In particolare, il device assumerà un indirizzo IP fittizio e facilmente modificabile che viene assegnato dal server VPN al quale ci si connette tramite l’applicazione Client. Questo genere di servizio è molto funzionale per prevenire attacchi Man-in-the-Middle che sfruttano l’intercettazione delle comunicazioni online.
È bene mantenere sempre aggiornato il sistema operativo di qualsiasi dispositivo elettronico, non solo perché viene migliorata l’esperienza di utilizzo, ma soprattutto perché vengono risolti i difetti di sicurezza. Quando si utilizzano visori VR o dispositivi AR, bisogna sempre aggiornare il loro firmware, perché in caso contrario è possibile subire pericolose violazioni della privacy.
Di fondamentale importanza, poi, è l’utilizzo di password complesse, e non facilmente decifrabili, e il loro continuo aggiornamento. Utilizzando la stessa combinazione breve per ogni genere di account, si rischia di mettere in serio pericolo ogni informazione personale. Se possibile, bisognerebbe anche utilizzare l’autenticazione a due fattori che aggiunge un grado di sicurezza in più. Esistono numerosi autenticatori su smartphone, che sono facilmente configurabili in pochi passaggi: consentono di ottenere un codice, sempre diverso e che può conoscere soltanto il proprietario dell’account, da inserire immediatamente dopo username e password.
Ultimo, ma non in ordine di importanza, è il contributo di un valido software antivirus, che supporti la protezione durante la navigazione online e difenda il proprio sistema operativo da tutti i tipi di minacce più comuni: virus, malware, ransomware, spyware, phishing e molto altro ancora.
Copyright © CULTUR-E