18 sept 2012

¿Cuánto cuesta realmente el cibercrimen? (II)

¿De dónde salió el billón de dólares en pérdidas por ciberdelincuencia que menciona Mcafee?

McAfee fue fundada por John McAfee, un ingeniero de software que escribió algunos de los primeros antivirus en la década del '80. La empresa creció rápidamente, gracias a una estrategia de marketing novedoso en aquellos días, regalar su software. La compañía salió a bolsa en 1992 y sigue siendo un líder en su campo, el año pasado fue adquirida por Intel Corp. por U$S 7,68 mil millones. "Hemos tenido una sola misión: ayudar a nuestros clientes a mantenerse a salvo. Logramos esto mediante la creación de soluciones de seguridad proactivas para asegurar su mundo digital" dice Mcafee en su sitio web.

Según vimos en la primera parte, en 2008 McAfee decidió encargar un informe para observar cómo la crisis económica mundial estaba afectando el robo de datos en contra de las empresas. Viveros, un directivo de relaciones públicas de la empresa contrató a una empresa para crear y distribuir una encuesta a cerca de 1.000 ejecutivos de tecnología de la información en todo el mundo. Un grupo de personas de la Universidad de Purdue, encabezado por Spafford, analizaron los resultados de la encuesta, llevaron a cabo las entrevistas y ayudaron a redactar el informe.

El informe de 31 páginas [PDF] encontró que las empresas encuestadas tenían un promedio de U$S 12 millones en información confidencial almacenada en sus sistemas informáticos en 2008, y que cada uno perdió un promedio U$S 4,6 millones en propiedad intelectual en 2008. El informe fue publicado el 29 de enero de 2009, en Davos, Suiza, durante una reunión del Foro Económico Mundial. McAfee publicó un comunicado de prensa y el lanzamiento incluyó números dramáticos que no figuraban en el informe.

"Las empresas encuestadas estiman que perdieron un total de U$S 4,6 mil millones en propiedad intelectual sólo el año pasado, y aproximadamente U$S 600 millones en la reparación de los daños", dice el comunicado. "En base a estos números, McAfee estima que las empresas perdieron más de U$S 1 billón el año pasado". El comunicado contenía una cita al entonces presidente y jefe ejecutivo de Mcafee, David DeWalt, en la que se repite la estimación de U$S 1 billón. El titular de la nota de prensa era "Las empresas pierden más de U$S 1 billón en propiedad intelectual debido al robo de datos y la ciberdelincuencia".

La estimación del billón de dólares fue recogida por los medios de comunicación, como Bloomberg y CNET, y no expresaron ningún escepticismo. Pero por lo menos un observador tuvo dudas: Amrit Williams, un consultor de seguridad, escribió en su blog unos días más tarde que el informe era un FUD: "¿U$S 1 billón al año? ¿En serio? ¿De dónde diablos viene eso? Para darle un poco de perspectiva, el PIB de EE.UU. es de aproximadamente 14 billones de dólares anuales".

Las noticias llamó la atención y preocupó de algunos de los colaboradores del informe de McAfee porque estaban conectando sus nombres a una estimación de la que no tenían conocimiento previo y se mostraron escépticos de ella. Uno de los colaboradores, Augusto Paes de Barros, un consultor de seguridad de Brasil, escribió en su blog una semana después del comunicado de prensa que a pesar de que estaba contento de haber participado en el informe, "No he podido encontrar ningún dato en ese informe que podría dar lugar a ese número... Me gustaría ver cómo lo encontraron". Además otro investigador Peter Lindstrom también remarcó que dicho número nunca aparecía en el informe.

McAfee nunca dió ninguna explicación pública de cómo llegó al billón de dólares. "Al principio sólo íbamos a hacer el informe, pero mucha gente nos preguntaban cuál era el número total, por lo que hemos trabajado en un modelo", explicaron desde McAfee. Esta semana, en respuesta a las preguntas de ProPublica, reveló detalles sobre la metodología: "los cálculos fueron realizados por un grupo de funcionarios de tecnología, comercialización y ventas de McAfee y se basan en las respuestas obtenidas en la encuesta".

"McAfee extrapoló el billón de dólares basado en la pérdida de datos promedio por empresa, multiplicado por el número de empresas similares en los países que estudiamos", dijo Viveros en un correo electrónico.

Sin embargo, el método mencionado por la empresa no cumplía con las normas de los investigadores de Purdue a quienes habían contratado para analizar las respuestas de la encuesta y ayudar a escribir el informe. En entrevistas telefónicas y correos electrónicos a ProPublica, profesor asociado de Jackie Ulmer Rees dijo que estaba desconcertado cuando, pocos días antes de la aparición del informe, recibió un borrador del comunicado de prensa que contenía la cifra del billón. "Expresé mi preocupación por el número y les dije que dicho número no era soportable por el estudio".

Viveros dijo que McAfee nunca fue informado por Purdue de que el número no podía ser apoyado por la encuesta y entonces la compañía siguió adelante con el comunicado de prensa. Ahora "el número tiene una vida propia".

En febrero de 2009, el presidente Obama ordenó una revisión de ciberseguridad de 60 días para investigar posibles formas de proteger mejor al país de ataques cibernéticos, y nombró a Melissa Hathaway, quien se desempeñó como asesor de seguridad cibernética en la administración Bush, para supervisar el esfuerzo. El 29 de mayo, Obama dio a conocer su opinión y pronunció su primer discurso importante sobre ciberseguridad. La segunda página del informe Cyberspace Policy Review [PDF] cita el billón de dólares de McAfee, y el presidente lo utilizó en su discurso, diciendo: "Se ha estimado que sólo el año pasado los cibercriminales robaron propiedad intelectual de las empresas en todo el mundo por un valor de hasta un billón de dólares".

No es normal que un presidente se base en el contenido de un comunicado de prensa corporativo para advertir a los estadounidenses de una gran amenaza para la seguridad económica de la patria, pero Hathaway dijo que el Presidente se sintió seguro con la estimación de McAfee, ya que detrás estaban investigadores de la Universidad de Purdue. Sin embargo, comenzó a desconfiar del número luego de hacer más preguntas y dijo que "tiendo a no utilizarlo nunca más porque no se probó la metodología detrás del número".

En marzo de 2011, McAfee publicó su "Economías Underground", en el cual repitió el estimativo del billón de dólares. La crítica no se hizo esperar y la revista Wired informó que "si el número es verdad, la cifra asciende a un enorme 1,6 por ciento del PIB mundial". Este año, investigadores de Microsoft escribieron un artículo en el The New York Times donde describen los delitos informáticos y mencionan que "los métodos estadísticos de estudio son absurdamente malos y los hacen pocos fiables".

Estas críticas han adquirido mayor importancia porque funcionarios del gobierno están citando a una variedad de industrias para reforzar la necesidad de una legislación de seguridad cibernética. La Cámara de Representantes aprobó su versión de un proyecto de ley de seguridad cibernética, conocida como Cybersecurity Act of 2012, que permite que el gobierno de EE.UU. y las empresas privadas compartan información sobre ciberamenazas para crear un conjunto de normas de para los operadores de infraestructuras críticas.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!