Canal de Telegram

17 sept 2012

Segu-Info » , , » ¿Cuánto cuesta realmente el cibercrimen? o ¿Cómo se inventan las estadísticas? (I)

¿Cuánto cuesta realmente el cibercrimen? o ¿Cómo se inventan las estadísticas? (I)

17 sept 2012, 9:08:00 a.m.   Comenta primero!
  , ,  

Son reales las estimaciones de Symantec y McAfee con respecto al cibercrimen

El general Keith Alexander es el director de la Agencia de Seguridad Nacional (NSA) de EE.UU. y supervisa el cibercomando, lo que significa que lidera los esfuerzos del gobierno para proteger a Estados Unidos de ataques cibernéticos.

Alexander advirtió que los ataques cibernéticos están causando "la mayor transferencia de riqueza en la historia", y citó estadísticas. Según Symantec, el robo de la propiedad intelectual cuesta a empresas estadounidenses U$S 250 mil millones al año. Según McAfee, el coste global de la ciberdelincuencia es de U$S 1 billón. En su primer discurso importante de ciberseguridad en 2009, el presidente Obama también citó las estadísticas de McAfee. Alexander a continuación instó al Congreso a promulgar una legislación para mejorar la ciberdefensa de Estados Unidos.

Sin embargo varios blogs y estudios académicos han expresado anteriormente su escepticismo acerca de estas estimaciones, pero esto no ha impedido que una serie de funcionarios públicos y políticos las sigan citando públicamente. Ahora, un examen de sus orígenes por ProPublica ha encontrado nuevos motivos para cuestionar los datos y métodos utilizados para generar estos números.

Con respecto a los billones de dólares estimados por McAfee, el número es cuestionado incluso por los tres investigadores independientes de la Universidad de Purdue a quienes McAfee cita en el análisis de los datos en bruto, de los que finalmente salió la estimación. "Yo estaba realmente consternado sobre el número cunado salió en las noticias, debido a que era muy, muy grande", dijo Eugene Spafford, profesor de informática en Purdue.

Spafford fue un contribuyente clave en el informe, "Unsecured Economies: Protecting Vital Information" [PDF]. La estimación del billón de dólares fue publicado por primera vez en un comunicado de prensa emitido por McAfee para anunciar el informe pero el número no aparece en el propio informe. Un portavoz de McAfee dijo a ProPublica que la estimación fue una extrapolación de la empresa, con base en los datos del informe. Luego, ejecutivos de McAfee han mencionado la cifra de un billón de dólares varias veces y en 2011 McAfee lo publicó una vez más en su nuevo informe, "Underground Economies: Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency" [PDF].

Además de los tres investigadores de Purdue que fueron factores clave del informe, otros 17 investigadores y expertos figuraban como contribuyentes al informe original de 2009, aunque solo algunos de ellos fueron entrevistados por los investigadores de Purdue. Entre ellos se encontraba Ross Anderson, profesor de ingeniería de seguridad en la Universidad de Cambridge, quien dijo a ProPublica que él no sabía nada de la estimación de U$S 1 billón antes de que fuera anunciado. "Si lo hubiera sabido, lo hubiera objetado en el momento", dijo.

El uso de estas estimaciones llega en medio del debate sobre el aumento de los ataques cibernéticos; advertencias de un Pearl Harbor digital se están convirtiendo en casi una rutina. "Un ataque cibernético podría detener nuestra sociedad" , dijo el general Martin Dempsey, jefe del Estado Mayor Conjunto, a principios de este año. Bloomberg informó la semana pasada que un grupo de hackers chinos, a los que las agencias de inteligencia de Estados Unidos se refiere como "Byzantine Candor", han robado información sensible o clasificada de 20 organizaciones.

No hay duda de que muchos de los delitos informáticos, ciberespionage e incluso actos de guerra cibernética están ocurriendo, pero la magnitud exacta no está clara y los costos financieros son difíciles de calcular porque es difícil conseguir datos sólidos. Basarse en estimaciones imprecisas o no verificables es peligroso, dicen los expertos, ya que puede inclinar las prioridades de un país y aumentar su gasto innecesariamente.

Además de vender software antivirus ambas empresas también venden una gama de productos de seguridad para agencias gubernamentales y empresas privadas, incluidos los operadores de infraestructuras críticas, como las centrales eléctricas y los oleoductos. "Symantec está haciendo un trabajo excepcional en el análisis de amenazas, pero aún así, por supuesto que tienen un interés en retratar un ambiente peligroso porque así pueden beneficiarse", dijo Thomas RID, experto en seguridad cibernética en el Kings College de Londres.

Sal Viveros, relaciones públicas de McAfee y quien supervisó el informe de 2009, dijo a ProPublica, "Trabajamos con centros de investigación y universidades para asegurarnos de que nuestros informes no sean parciales y tan precisos como sea posible. El objetivo de nuestros trabajos es educar sobre los problemas y los riesgos que enfrentan las empresas. Nuestros clientes confían en nosotros para ofrecerles nuestro conocimiento".

El origen de los U$S 250 mil millones en pérdidas anuales por robo de propiedad intelectual -mencionado por Symantec- sigue siendo un misterio pero la empresa dijo que sus estimaciones se elaboran con métodos estándares utilizados por los gobiernos y las empresas para llevar a cabo encuestas de consumidores.


Cristian de la Redacción de Segu-Info



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!