Há uma frase popular atribuída ao filósofo George Santayana que diz: "aqueles que não se lembram do passado estão condenados a repeti-lo". A frase foi amplamente usada para se referir à importância do progresso e a evolução da capacidade de aprender com os erros do passado, a fim de evitar repeti-los no futuro. E acho que se aplica perfeitamente para analisar o futuro da tecnologia e algumas das promessas de evolução que o metaverso, a web 3.0 e os criptoativos sustentam. Outras revoluções tecnológicas no passado recente, como o crescimento da Internet das Coisas (IoT), para citar apenas um exemplo, nos mostraram os riscos e consequências para a segurança e privacidade das pessoas, a falta de maturidade dos usuários, a falta de regulamentação e a falta de conscientização por parte das empresas que desenvolvem essas tecnologias. Talvez seja irrealista pensar que podemos estar suficientemente preparados para enfrentar os desafios de algo que ainda está distante, mas há muito que pode ser feito através da educação e da conscientização para garantir que não fiquem tão desprotegidos.

Introdução

Nos últimos anos, a internet sofreu uma revolução com os criptoativos e a possibilidade de ter tudo, o tempo todo, mas ao mesmo tempo não ter nada. Sei que esta frase pode soar um pouco estranha, mas descreve o que está acontecendo com ativos de poupança que não são físicos, como criptomoedas e criptoativos em geral, cuja adoção cresceu tanto que na América Latina, por exemplo, 51% dos consumidores já fizeram transações com criptoativos e estão muito interessados em oportunidades de investimento.

Outro aspecto tecnológico que tem sido aperfeiçoado nos últimos anos tem a ver com experiências imersivas, algo que temos visto já há algum tempo com videogames e simuladores de realidade virtual. A combinação destas duas tecnologias explica em muito porque há um grande interesse pelo metaverso e também pelo conceito de Web 3.0.

No caso do metaverso, nos referimos a um mundo virtual ao qual as pessoas serão capazes de se conectar através de dispositivos especiais para passar tempo interagindo em uma realidade alternativa. Este projeto tem algumas empresas trabalhando no desenvolvimento de modelos, tais como a Meta, o Google e a Microsoft. Segundo o site Bloomberg, o metaverso é a próxima grande plataforma tecnológica que tem o potencial de se tornar uma indústria no valor de 800 bilhões até 2024. Além disso, as projeções estimam que até 2026, 25% da população mundial passará pelo menos uma hora por dia neste mundo virtual.

Quando falamos de Web 3.0, a principal mudança será marcada pela descentralização. Esta é uma ideia que visa tirar o controle da Internet dos gigantes tecnológicos e dar às pessoas e comunidades o poder de controlar o conteúdo. As chaves para alcançar esta descentralização estão em tecnologias como a blockchain e o uso de criptomoedas.

Um aspecto interessante de ambas as ideias, e que nos preocupa do ponto de vista da cibersegurança, é que o conceito de "usuário" abrange não apenas pessoas, mas também empresas, pois todos serão capazes de conduzir negócios, sejam eles financeiros, compra e venda, publicidade, e etc.

Criptomoedas & NFTs: uma realidade crescente até mesmo para o cibercrime

O volume de transações em criptomoedas cresceu 567% de 2020 a 2021, confirmando o interesse na adoção de criptomoedas para várias transações financeiras. Além disso, 2022 viu a consolidação das NFTs, uma proposta muito interessante para a monetização de itens como bens digitais e o colecionismo de obras de arte. E embora pareça que isto ainda se trava de algo incipiente, não podemos deixar de mencionar o crescimento que tiveram, com um valor de mercado projetado para 2030 de 231 bilhões de dólares. E uma das chaves para entender este crescimento são os videogames.

Embora o uso de criptomoedas já exista há mais de uma década, a situação atual não é a mesma. O Bitcoin não é mais a moeda que controla o mercado; existem mais de 20 mil tipos diferentes de criptomoedas. Enquanto destas criptomoedas estão sendo envolvidas em fraudes e muitos outras estão surgindo, a geração de micro (e macro) comunidades ao seu redor das mesmas geram novas maneiras de interagir com as criptomoedas: desde jogos de play-to-earn, passando por investimentos, até a compra e venda de outros ativos na blockchain, como as NFTs.

Entretanto, com o crescimento do ecossistema cripto também veio o crescimento das ameaças cibernéticas e o interesse de cibercriminosos. Isto é demonstrado pelo número de ataques a serviços de Exchange, plataformas financeiras descentralizadas, jogos de videogame baseados na blockchain e outros serviços entre 2021 e 2022. Todos os ataques que resultaram no roubo de milhões em diferentes criptoativos.

Infelizmente, muitas dessas inovações estavam surgindo a um ritmo muito rápido e muitas pessoas decidiram adotá-las mesmo sem que estivessem devidamente preparadas. E isto é algo que os cibercriminosos têm tentado explorar, utilizando várias formas de ataque e golpes para ficar com o dinheiro de pessoas e empresas.

Outro aspecto fundamental para compreender os desafios de segurança apresentados pelos criptoativos tem a ver com o alto grau de anonimato no ecossistema cripto. Este fator torna impossível, por padrão, que as pessoas tenham algum tipo de suporte contra golpes, roubo ou verificação de identidade, o que levou a uma proliferação de ameaças, tais como phishing e outras formas de fraude. E infelizmente, uma vez que o dinheiro é roubado, não há muito que se possa fazer. Para entender o impacto da atividade criminosa para os usuários, de acordo com dados oficiais para os Estados Unidos, as perdas decorrentes de golpes de criptomoedas aumentaram 60 vezes entre 2018 e 2022, com as vítimas perdendo em média US$ 2.600.

Se falamos sobre os desafios da cibersegurança no mundo cripto, também temos que falar sobre incidentes decorrentes de vulnerabilidades ou falhas no desenvolvimento de softwares. Embora existam metodologias e boas práticas para um desenvolvimento seguro, muitas vezes elas não corrigem os erros humanos. Às vezes os interesses comerciais aceleram o tempo e não são realizadas auditorias necessárias antes de colocar aplicativos e tecnologias em processo de produção. Isto permite que os criminosos explorem estes erros ou vulnerabilidades a seu favor. Este foi, por exemplo, o caso de plataformas como Qubit e Wormhole, que sofreram perdas totais de US$ 400 milhões em criptomoedas devido à exploração de uma vulnerabilidade complexa em contratos inteligentes.

Neste cenário e com foco na segurança, é claro que estamos no caminho certo para enfrentar grandes desafios nos próximos anos que demanda aplicativos mais seguros, pessoas treinadas e conscientes das ameaças e regulamentações que estejam à altura das circunstancias. Continuarão surgindo vulnerabilidades em sistemas e novos instrumentos e ferramentas para o comércio de criptoativos, forçando as pessoas a estarem mais vigilantes e capazes de pensar e reconhecer o que é legítimo e o que esconde más intenções.

A tendência mostra que no último ano, a engenharia social foi a mais utilizada por cibercriminosos para realizar ataques, seguida por malwares especializados, como o ransomware, malware para roubar informações de lixeiras, trojans de acesso remoto (RATs), keyloggers e o uso de criptojacking.

Esta tendência deve continuar no próximo ano e espera-se que a massa de usuários no ecossistema cripto continue crescendo, bem como o interesse pelas NFTs ou novos instrumentos de operabilidade, como os propostos pelo mundo das finanças descentralizadas (Defi).

Virtual e real: o Metaverso

O conceito de metaverso é aquele que está atraindo mais atenção tanto de pessoas quanto de empresas. Os altos investimentos que já foram feitos com pensando nesses projetos são o maior indicador de que esta nova modalidade se tornará uma realidade. Algumas empresas como a Meta, investiram mais de 36 bilhões de dólares desde 2019 em seu projeto metaverso e é, junto com o Google e a Microsoft, um dos maiores promotores desta nova forma de interação no mundo virtual. Entretanto, esta fascinante ideia do metaverso tem seu lado B e há muitas perguntas sem resposta que são fundamentais para entender a segurança: que tipo de hardware será usado para acessar o metaverso? Como nos autenticaremos? Que arquiteturas serão usadas pelos dispositivos envolvidos nestas experiências? O que acontece com os dados e a privacidade? Estas e muitas outras perguntas serão respondidas quando os sistemas estiverem em funcionamento.

Um dos principais pontos de atenção quando se fala do conceito de metaverso são as inovações de hardware e software que essa tecnologia pode introduzir. A autenticação, o fator imersão, o armazenamento de informações estáticas e dinâmicas, a economia funcional e até mesmo interações sociais serão cruzadas por dispositivos tão variados como telefones celulares, computadores ou óculos de realidade virtual.

Isto implica no desenvolvimento de novas - ou parcialmente - peças de software que sejam funcionais em arquiteturas muito diferentes, o que é um grande desafio se pensarmos em desenvolvimento seguro.

É oportuno tomar como referência o que aconteceu alguns anos atrás com outra inovação tecnológica: a Internet das Coisas, mais conhecida como IoT. O surgimento de dispositivos inteligentes conectados à Internet levantou sérias preocupações, especialmente quando se percebeu que muitos dispositivos IoT disponíveis no mercado não haviam sido desenvolvidos tendo em conta a segurança e a privacidade das pessoas. O resultado? Dados alarmantes com consequências palpáveis. De acordo com uma pesquisa da empresa de cibersegurança Cynerio, mais da metade dos hospitais em todo o mundo disseram ter recebido alguma forma de ataque cibernético visando seus dispositivos IoT, e 53% dos dispositivos que usam têm pelo menos uma vulnerabilidade crítica não resolvida.

Pontos fracos, como circuitos de câmera de segurança abertos à Internet, roteadores com senhas de administrador padrão, hardware dentro do perímetro de uma empresa, mas fora das redes corporativas, e até mesmo equipamentos de saúde usados para movimentação lateral, são alguns dos problemas de segurança que vemos todos os dias como resultado do desenvolvimento acelerado.

O que aconteceu com os dispositivos IoT - e ainda está acontecendo - deve servir como uma experiência de aprendizado à medida que desenvolvemos os sistemas que farão o metaverso funcionar. Caso contrário, seremos confrontados com um alto número de vulnerabilidades que os cibercriminosos irão procurar utilizar para explorar o acesso, autenticação, transações financeiras e até mesmo modificar o código dos próprios aplicativos.

Além disso, é de se esperar que o código malicioso seja desenvolvido com funcionalidades que incluirão espionagem, roubo de dados de acesso e phishing. Se somarmos a tudo isso o desenvolvimento de softwares inseguros, o cenário pode se tornar ainda mais favorável para os cibercriminosos. Basta pensar em sistemas de compartilhamento de arquivos, algo disponibilizado por qualquer rede social, como será validado se o arquivo contém um conteúdo malicioso, como a plataforma permitirá a interação com esses eventuais arquivos, eles serão abertos pela própria interface ou terão que ser baixados e tratados separadamente? Hoje, os arquivos maliciosos representam uma parte importante do cenário de ameaças digitais e certamente precisarão ser levados em conta no Metaverso.

A esses fatores devemos adicionar o volume de informações pessoais que serão necessárias para interagir com um metaverso, e o quanto as pessoas estarão cientes das políticas de privacidade e uso de dados das empresas que irão operar esses metaversos. Embora não seja uma falha de projeto, as consequências podem se tornar críticas se, por exemplo, as informações de registro forem capturadas nos perfis públicos dos usuários. Outro cenário que precisa ser considerado tem a ver com vazamento de dados: os usuários precisarão saber como seus dados serão armazenados, como poderão solicitar a exclusão de registros, ou se as empresas precisarão informar se suas informações foram comprometidas.

A engenharia social também será uma preocupação. Com a capacidade de imitar, seja visualmente ou com uma conta falsa, uma personalidade ou empresa conhecida, os golpes serão tão comuns como são hoje em dia em qualquer rede social. E com as possibilidades oferecidas pela imersão, é muito provável que as pessoas sejam mais suscetíveis a serem enganadas por casos de engenharia social neste contexto.

Resumindo, olhando para o crescimento das criptomoedas nos últimos anos e o nível de adoção de outras formas de criptoativos como as NFTs, a combinação do ecossistema cripto com ideias inovadoras como o metaverso e a Web3.0 sem dúvida revolucionará o futuro quando elas se tornarem uma realidade. Os responsáveis pelas ameaças estarão presentes e buscarão maneiras de se aproveitar, por isso esperamos que as experiências passadas possam nos ajudar a estar melhor preparados para enfrentar os desafios futuros, e isto implica um compromisso de todas as partes envolvidas e um esforço contínuo para trabalhar na educação e na conscientização.