19 sept 2012

¿Cuánto cuesta realmente el cibercrimen? (y III)

¿De dónde salieron los U$S 250 mil millones en pérdidas por ciberdelincuencia que menciona Symantec?

Según vimos en la primera parte, en su discurso en el American Enterprise Institute, el general Alexander dijo que Symantec había publicado que el costo del robo de propiedad intelectual en los EE.UU. era de U$S 250 mil millones al año. Rastreando los orígenes de esta estadística (en U.S. Government Accountability Office [PDF] y en una investigación de Julián Sánchez), si bien Symantec menciona el estimativo en un informe del 2011, según "Behavioral Risk Indicators of IP Theft", la estimación original no es de Symantec.

Eric Shaw, uno de los dos psicólogos forenses de Symantec que realizaron la investigación dijo a ProPublica que la nota fue un error. En su lugar, se debería haber hecho referencia a un documento diferente que apunta a un discurso del director del FBI Robert S. Mueller, brindado en 2003. La cifra también es citada en las viejas notas de prensa del FBI, disponibles a través del Internet Archive.

Un portavoz de la agencia dijo que aunque creían que los funcionarios del FBI usaron una fuente confiable, el FBI nunca afirmó haberlo hecho. Señaló a otro documento [PDF], del Departamento de Justicia de EE.UU., atribuyendo la cifra de U$S 250 mil millones a la Office of the U.S. Trade Representative.

El entonces secretario de Comercio, Gary Locke también usó el mismo número en un discurso de 2010, pero dijo que "la cifra aparece referida y reportada por la industria" pero esta vez lo atribuyó a un informe del FBI.

Hay otras preocupaciones acerca de las estimaciones de Symantec. Basándose en el informe de cibercrimen 2011 Norton Cybercrime Report, el general Alexander dijo que el costo directo de la delincuencia cibernética es de U$S 114 mil millones y el costo total de la ciberdelincuencia en el tiempo ha sido de U$S 388 mil millones. El informe en realidad no fue investigado por los empleados de Norton, sino que esta subcontrató a una empresa de investigación de mercado, StrategyOne de Edelman.

StrategyOne encuestó a casi 20.000 personas en 24 países, pidiéndoles que informen si tenían experiencia en delito cibernético y lo que les había costado. La compañía dijo que "utilizó prácticas de investigación estándar para encuestas en línea" para obtener una muestra representativa de usuarios de Internet. Para calcular el costo total, se multiplicó el número estimado de víctimas por el costo promedio de la ciberdelincuencia en cada país.

Pero eso todavía deja espacio a varias incertidumbres. Por ejemplo, si las respuestas provinieron principalmente de los más preocupados por la delincuencia o de los que sufrieron las mayores pérdidas, eso podría inflar el coste medio. Y, la estimación de una persona puede ser completamente diferente de la conjetura de otra, aunque ambos hayan sufrido el mismo delito y hayan perdido la misma cantidad de tiempo.

Ante la pregunta a StrategyOne, si las estimaciones de Symantec podrían llamarse científicas, respondió: "Sí, tanto como cualquier otr encuesta o sondeo que se basa en la opinión de los consumidores para estimar sus pérdidas, basadas en el recuerdo".

Algunos expertos dicen que no es suficiente. "Nadie puede realmente evaluar el verdadero impacto de la delincuencia cibernética", dijo Franz-Stefan Gady, analista de seguridad de EastWest Institute. "La presentación de informes es libre, porque no podemos verificarlo".

En su documento de 2011, Florencio y Herley de Microsoft Research no mencionaron específicamente los informes de Symantec o de McAfee números pero observaron: "Lejos de ser estimaciones amplia y en base a las pérdidas de toda la población, las estimaciones del crimen cibernético que tenemos parecen estar basadas en las respuestas de un puñado de personas extrapolados a toda la población".

La senadora Collins agregó otra capa de confusión acerca de la misteriosa figura de los U$S 250 mil millones cuando habló en agosto pasado en apoyo del proyecto de ley de seguridad cibernética. En sus declaraciones mencionó al general Alexander y dijo: "Él cree que las compañías estadounidenses han perdido cerca de U$S 250 mil millones al año a través de robo de propiedad intelectual". Consultada afirmó que "cree que McAfee, Symantec, y el general Alexander son fuentes fidedignas de información sobre seguridad cibernética".

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!