Interatividade, imersão e descentralização são algumas das promessas para o “futuro da internet”, mas quais implicações isso traz para a segurança de dados e informações pessoais de cada usuário? Como as empresas devem se preparar?
Quem viveu o período entre o final da década de 90 e o início dos anos 2000 teve a oportunidade de presenciar a evolução da “primeira web” para aquilo que se conveio chamar de web 2.0. O termo, cunhado por Tim O’Reilly, fazia referência às mudanças estruturais pela qual a grande rede mundial de computadores estava passando — a principal delas é que os sites deixavam de ser páginas estáticas (read-only) para se tornar interativas, podendo receber inputs do usuário final. Com isso, foi possível a criação de aplicações web, redes sociais e plataformas alimentadas por internautas, como o YouTube.
Mas nem tudo são flores, e o nascimento da web 2.0 trouxe uma série de dores de cabeça relacionadas com a segurança da informação que, até então, não existiam. A partir do momento em que em há uma troca de dados entre o cliente e o servidor (sendo que este segundo passou a se tornar um centro de armazenamento desses dados), o crime cibernético evoluiu para explorar tal tráfego no intuito de obter lucro. É por isso que, hoje em dia, vemos tantos casos de vazamentos de informações pessoais e/ou sensíveis, tal como outros tipos de ataques digitais visando a exploração desse “ouro virtual”.
Agora, estamos todos no “hype” para as próximas inovações do setor, principalmente para a web 3.0 e o metaverso. Contudo, é crucial que, desde já, os profissionais de segurança cibernética estejam atentos para os eventuais perigos dessas novas tecnologias, mantendo-se a par sobre como elas aumentam a superfície de ataques e o que as empresas devem fazer para garantir uma transição que seja o mais segura possível para esses novos conceitos.
A próxima geração da world wide web
Vamos começar pela web 3.0, que, embora ainda seja um conceito um tanto abstrato, não sai da boca dos futuristas e entusiastas de sistemas da computação. A ideia aqui é que a próxima geração da web seja ainda mais inteligente e descentralizada, empregando tecnologias como machine learning para compreender o contexto de páginas e conteúdos, além de utilizar redes blockchain públicas para substituir a dependência de grandes centralizadores de conteúdo e informação — incluindo as “big techs” como Google e Meta.
Na teoria, tudo parece muito bonito: os internautas teriam maior controle sobre seus dados (soberania digital) em vez de confiá-los em organizações centralizadas, o que poderia reduzir a quantidade de vazamentos e prover um domínio maior sobre sua privacidade no ambiente online. Contudo, especialistas já alertaram que há chances de que tal tiro saia pela culatra, uma vez que mecanismos inseguros de autenticação podem criar riscos de roubo de identidade.
Também há preocupações com perdas financeiras (atores maliciosos explorando falhas estruturais em contratos inteligentes), uso extensivo de algoritmos de machine learning com vieses perigosos e o aumento da quantidade de spam — afinal, vale lembrar, a partir do momento em que websites, aplicações e motores de busca usarem todos os recursos da internet para servir os usuários, atacantes poderão facilmente poluir certas fontes de dados para servir aos seus próprios propósitos.
Perigos em mundos imersivos
O advento do metaverso também é igualmente preocupante. Levar as interações web para um novo tipo de ambiente exige cuidados, práticas de higiene pessoal e até mesmo regulamentações específicas. Quando imaginamos nossa identidade virtual sendo simbolizada em uma recriação 3D de nosso mundo, a primeira pergunta que logo surge é: como autenticar esses usuários? As abordagens atuais dificilmente funcionarão, pois é difícil acreditar que alguém estará disposto a retirar seus óculos de realidade mista para enfrentar um processo burocrático de login. Novas tecnologias precisam ser criadas.
Mais do que simplesmente prover uma experiência segura e sem fricções (frictionless) de autenticação, será necessário prover mecanismos que garantam que aquele avatar tridimensional realmente está sendo controlado por seu dono real — não apenas em um metaverso, mas sim no fluxo entre os vários mundos virtuais que estão sendo criados por diferentes fornecedores. Abordagens possíveis incluem reconhecimento de padrões da íris, incorporação de identificadores únicos a nível de hardware ou até mesmo a aplicação de sistemas de monitoramento comportamental ao estilo arquiteturas zero trust.
Claro, não podemos nos esquecer também que o metaverso ampliará ainda mais as superfícies de ataques, com mais dispositivos conectados à internet e um cenário totalmente novo para golpes de engenharia social. O hardware precisa ser projetado com a mentalidade security-first. Os usuários dos metaversos precisam de meios para se proteger contra scams financeiros, especialmente se levarmos em conta que, nesses cenários, transações de bens digitais (como tokens não-fungíveis e até mesmo “terrenos virtuais”) serão negociados a preços altíssimos.
Por fim, ainda existem preocupações a respeito de bullying e assédio. Diversos veículos de mídia, ao experimentar tais espaços de interação virtual, se depararam com conteúdos impróprios para certos públicos e até mesmo casos de violência sexual. Levando em consideração que tal novidade tecnológica tem o poder de atrair sobretudo o público mais jovem, essa é uma questão que merece ser tratada com muito cuidado e delicadeza.
Mas o que eu tenho a ver com tudo isso?
Após observarmos todas essas questões, resta uma dúvida muito simples: afinal, preocupar-se com a web 3.0 e o metaverso é realmente necessário para a minha empresa? A resposta é “sim”. Por mais que estamos falando de conceitos que, hoje, são um tanto abstratos e difíceis de compreender a sua real aplicação, não há dúvidas de que as corporações vão precisar embarcar nessas novidades tecnológicas caso queiram se manter relevantes no mercado. Faz parte do processo de transformação digital — que, vale lembrar, trata-se de algo contínuo e que deve acompanhar a experiência do cliente.
Sendo assim, não é exagero planejar desde já como será a sua participação em todas essas novidades. E, como bem sabemos, quando o assunto é segurança da informação e privacidade na internet, desenvolver soluções e ações com a mentalidade security-by-design e privacy-by-design é a melhor postura a ser adotada. Isto posto, vale a pena estudar desde já as possibilidades e abordagens para garantir uma experiência segura e agradável para o usuário final.