Buscar
Cerrar este cuadro de búsqueda.
Asesoramiento por modulos

Vulnerabilidad de Seguridad

En los Auriculares de Realidad Mixta Vision Pro de Apple

Recientemente se ha descubierto una vulnerabilidad de seguridad que afecta a los auriculares de realidad mixta Vision Pro de Apple, la cual, si se puede explotar, permitiría a los atacantes inferir los datos introducidos en el teclado virtual. El ataque, denominado GAZEploit, ha sido documentado por académicos de la Universidad de Florida, el equipo CertiK Skyfall y la Texas Tech University.

El Ataque GAZEploit

El ataque GAZEploit se basa en la capacidad de analizar la biometría ocular asociada a la imagen de un avatar virtual. Los investigadores han descubierto que es posible analizar los movimientos oculares (o “miradas”) del sucesor denominado “Persona” para deducir las teclas que un usuario escribe mediante un teclado virtual. Esta vulnerabilidad se vuelve significativa en situaciones donde los usuarios comparten un avatar en entornos virtuales, como videollamadas, reuniones en línea o plataformas de transmisión en directo.

¿Cómo Funciona el Ataque?

Uno de los aspectos preocupantes de esta vulnerabilidad es su capacidad para comprometer la privacidad de los usuarios. Si un atacante puede analizar un avatar virtual durante una comunicación en línea, tiene el potencial de reconstruir lo que se escribe en el teclado virtual y obtener datos sensibles como contraseñas. La metodología del ataque implica el desarrollo de un modelo de aprendizaje supervisado que se entrena con grabaciones de Persona, así como con datos de relación de aspecto ocular (EAR) y estimación de la mirada ocular. Esto permite a los atacantes distinguir las sesiones de mecanografía de otras actividades, como ver vídeos o jugar a juegos dentro del entorno virtual.

Implicaciones de Privacidad

La analítica de los movimientos oculares también implica mapear las direcciones de mirada en el teclado virtual a teclas específicas, teniendo en cuenta la ubicación del teclado en el espacio virtual durante la mecanografía. Esto permite a los atacantes generar inferencias sobre las pulsaciones de teclas de manera remota. La capacidad de capturar y analizar el vídeo del avatar virtual se enfatiza como una innovación en el dominio de los ataques de seguridad, posicionando GAZEploit como el primer ataque conocido que utiliza información filtrada de la mirada para inferir pulsaciones de teclas.

Respuesta de Apple a la Vulnerabilidad

Después de la identificación responsable de esta vulnerabilidad, Apple abordó la problemática a través de una actualización a visionOS 1.3 que se lanzó el 29 de julio de 2024. En un aviso de seguridad, Apple comentó que las entradas al teclado virtual se podían deducir mediante el componente “Persona” y ha implementado soluciones para mitigar el problema. Una de las soluciones incluye expulsar “Persona” cuando el teclado virtual está activo, para así evitar posibles infecciones de los datos insertados.

Conclusión sobre la Seguridad en Realidad Mixta

En conclusión, GAZEploit destaca no solo la importancia de las medidas de seguridad en las tecnologías de realidad mixta, sino también la necesidad de una respuesta rápida y efectiva ante vulnerabilidades descubiertas. La privacidad y la seguridad de los usuarios deben ser una prioridad para las empresas tecnológicas, y los usuarios deben ser conscientes de los riesgos asociados con el uso de este tipo de dispositivos que ofrecen una combinación de realidad física y virtual.

Utilizamos cookies propias y de terceros para mejorar la navegación del sitio, analizar el uso del mismo, realizar estudios para marketing y personalizar tu experiencia. Puedes aceptar todas las cookies o gestionar tus preferencias en el panel de configuración.

Aceptar Preferencias Rechazar
Centro Privacidad Política Cookies
Close Popup
Privacy Settings saved!
Configuración de Privacidad

Cuando visita cualquier sitio web, puede almacenar o recuperar información en su navegador, principalmente en forma de cookies. Controle sus Servicios de cookies personales aquí.

Necesarias Rendimiento Protección Datos Política Privacidad Política Cookies
Estas cookies son necesarias para que el sitio web funcione y no se pueden desactivar en nuestros sistemas. Usualmente están configuradas para responder a acciones hechas por usted para recibir servicios, tales como ajustar sus preferencias de privacidad, iniciar sesión en el sitio, o llenar formularios. Usted puede configurar su navegador para bloquear o alertar la presencia de estas cookies, pero algunas partes del sitio web no funcionarán. Estas cookies no guardan ninguna información personal identificable.
GDPR
  • wordpress_gdpr_cookies_declined
  • wordpress_gdpr_cookies_allowed
  • wordpress_gdpr_cookies_services
Rechazar Cookies
Aceptar Cookies
Open Privacy settings
Scroll al inicio
Servicio para aquellas empresas que necesitan un asesoramiento puntual y asociado a un determinado ámbito/punto de las normas ISO.

Módulo 1: Contexto de la organización

Análisis de las cuestiones internas y externas según la metodología DAFO.

Identificación de las partes interesadas (stakeholders) y definición de sus necesidades y expectativas.

Módulo 2: Acciones asociadas a riesgos y oportunidades

Identificación, con metodología propia, de los riesgos y oportunidades por procesos.

Definición de acciones y su seguimiento para mitigar riesgos y aprovechar las oportunidades identificadas.

Módulo 3: Aspectos ambientales significativos

Identificación, con criterios adaptados a la empresa, de los Aspectos Ambientales asociados a la actividad de la empresa.

Análisis de los Aspectos Ambientales Significativos y definición de acciones para la reducción del impacto ambiental de la organización.

Módulo 4: Consulta y participación de los trabajadores no directivos

Definición de procedimientos y metodologías para una participación y consulta eficiente de los trabajadores.

Apoyo para un correcto cumplimiento normativo en este ámbito.

Módulo 5: Informe de revisión por la dirección

Creación de la estructura general de un Informe de Revisión por Dirección (con sus entradas y salidas según las normas a certificar).

Análisis según el sector de la empresa de la metodología de valoración y tendencias de los puntos solicitados por las normas ISO.

Módulo 6: No conformidades y mejora continua

Creación de un registro para una correcta identificación y seguimiento de las No Conformidades,

Reclamaciones, Observaciones y Oportunidades de Mejora.
Formación asociada a la detección de No Conformidades y su tratamiento.