Ciberseguridad en la era inmersiva

Por: Christian Valles M, especialista en ciberseguridad, CEO Grupo S&S.

Recientemente se inauguró un Centro de Entrenamiento de Realidad Virtual para pilotos. Durante el evento, se presentó un simulador de vuelo basado en realidad virtual (RV), que representa un avance en los métodos de entrenamiento. Sin embargo, también abre un nuevo frente de atención: la ciberseguridad en entornos inmersivos.

Las tecnologías inmersivas como la realidad virtual, la realidad aumentada y los metaversos ya se están utilizando en sectores como defensa, salud, educación e industria. Cada visor, sensor o sistema conectado en estos entornos representa una nueva superficie de ataque.

Los riesgos pueden manifestarse a través de accesos no autorizados, manipulación de escenarios de simulación, robo de información sensible o interrupciones en los procesos de formación. En entornos críticos como el militar, incluso podrían representar una amenaza para la seguridad nacional. Estos desafíos no son exclusivos del sector público: cualquier organización que implemente RV debe evaluar las implicaciones de seguridad asociadas.

A diferencia de los sistemas tradicionales, las plataformas inmersivas procesan datos altamente sensibles: biometría ocular, patrones de voz, gestos, hábitos de comportamiento, tiempos de respuesta o interacciones sociales entre usuarios y avatares. Si no se protegen adecuadamente, estos datos podrían utilizarse para suplantaciones, extorsiones digitales, fraudes o espionaje corporativo.

En estos entornos, la identidad digital va más allá de un usuario y contraseña. Proteger a los usuarios requiere mecanismos como la autenticación multifactor (MFA), biometría, limitación de dispositivos y sesiones activas, e incluso cifrado en los avatares y canales de comunicación. Si la institución pública del ejemplo aplica estas medidas, podrá asegurar que solo el personal autorizado acceda a los entrenamientos, reduciendo riesgos de suplantación.

Actualmente, muchas tecnologías inmersivas operan bajo modelos de seguridad tradicionales. En Ecuador, es momento de avanzar hacia un modelo Zero Trust, donde cada conexión se verifique dinámicamente según el tipo de dispositivo, ubicación, horario, rol y necesidad de acceso. Por ejemplo, si un avatar intenta ingresar desde una IP no habitual o en un horario no autorizado, el sistema debería activar alertas o bloquear automáticamente el acceso.

Para implementar entornos inmersivos seguros, las organizaciones deben adoptar una estrategia de ciberseguridad específica, que incluya como mínimo la formación y concienciación de los colaboradores, considerando que el usuario puede ser el primer punto de defensa o de vulnerabilidad; el monitoreo constante de los entornos virtuales, que son dinámicos y deben ser vigilados en tiempo real y el cumplimiento normativo, como lo establece la Ley Orgánica de Protección de Datos Personales (LOPDP), que obliga a proteger todos los datos personales, incluidos los generados en plataformas inmersivas.

Para mitigar los riesgos mencionados, los responsables de TI y CISOs deben considerar las siguientes acciones estratégicas:

• Incluir la ciberseguridad desde el diseño del proyecto (Security by Design).
• Analizar los riesgos específicos de cada visor, plataforma o canal de comunicación.
• Formar a usuarios, técnicos y responsables en ciberseguridad y ética digital.
• Implementar políticas claras sobre el uso, monitoreo, acceso y privacidad.
• Realizar simulacros y pruebas de penetración, especialmente en entornos inmersivos.
• Asegurar cumplimiento normativo y definir protocolos de respuesta ante incidentes.

La adopción de tecnologías inmersivas debe ir acompañada de estrategias de ciberseguridad integradas. La innovación sin protección puede convertir una oportunidad en una vulnerabilidad crítica para la organización.