La plataforma de juegos desarrollada en el Metaverso, Roblox, se posiciona actualmente como la octava empresa con más casos de suplantación de identidad (conocido como Phishing en inglés) en el Internet. Un aumento preocupante de phishing en el Metaverso ha llevado a la compañía Checkpoint Research a realizar un estudio donde Roblox destaca en el preocupante octavo lugar.
Existen varios motivos para que esto suceda. Uno de ellos es el reciente auge del desarrollo del Metaverso luego de que la compañía Facebook cambiara su nombre a Meta y se avocara por el desarrollo de su propio Metaverso. Esta nueva tendencia creada por Meta cautivo la atención de los delincuentes informáticos, quienes usualmente buscan personas incautas o con contraseñas fácilmente vulnerables.
Otro de los motivos más evidentes es la cantidad de dinero que se encuentra en estos ecosistemas. Aunque los casos de phishing no se limitan únicamente al Metaverso, empresas como Microsoft o DHL también sufren suplantación de identidad. Actualmente, Microsoft es la primera empresa de la lista publicada por Checkpoint Research con un 23%. DHL le sigue en el segundo puesto con 20%. Este porcentaje refleja el porcentaje total de suplantación de identidad que se lleva a cabo en Internet con respecto a esa compañía.
Actualmente, los intentos de Phishing de Roblox ocupan un 3% del total de estas acciones. Lo cual representa una cifra lo suficientemente alta como para convertirla en una de las diez compañías más afectadas por la suplantación de identidad.
Como se lleva a cabo el Phishing
La manera más común de suplantar identidad es mediante correos electrónicos, donde el delincuente se hace pasar por la compañía dirigiéndose al usuario. En estos correos suele haber links o programas maliciosos (malware) en los cuales se les solicita hagan clic. Una vez que la persona accede al enlace o descarga el malware, solicitan que ingresen los datos de la cuenta o tarjetas de crédito.
Esta brecha de seguridad no depende de la compañía y los delincuentes se aprovechan de esto. La ingenuidad de algunos usuarios que responden a supuestos correos electrónicos del soporte solicitando su información personal u ofreciendo algún beneficio extra por motivos inexistentes, ha generado desconfianza en cuanto a la información que se recibe vía email.
En el Metaverso, los ataques de fraude y suplantación de identidad podrían provenir de una cara conocida como un avatar que se hace pasar por su compañero de trabajo, en lugar de un nombre de dominio o una dirección de correo electrónico engañosos.
Checkpoint Research.
Una de las tácticas más recientes es la utilización de nombres conocidos o un supuesto compañero de trabajo que te envía algún tipo de enlace. Esta confianza se transforma en el vehículo que vulnera la seguridad del usuario.
El caso de Bored Ape Yacht Club
Los casos de suplantación de identidad cada día son más comunes y uno de los más conocidos es el de la colección NFT Bored Ape Yacht Club. A inicios de año se vieron afectados aquellos holders que recibieron información falsa sobre la posibilidad de usar sus NFT como foto de perfil. El mensaje enviado por el hacker solicitaba a los usuarios entrar a un enlace y conectar su billetera de MetaMask cuando se le solicitara. Las pérdidas reportadas durante el ataque ascienden a millones de dólares.
Los ataques de este tipo han ocurrido cada vez con más frecuencia, debido a que cada vez más personas se interesan por coleccionar e invertir en NFT. El inconveniente de esto es que no cuentan con medidas de seguridad mínimas o no tienen conocimiento de las técnicas utilizadas por los ciberdelincuentes.
