Cunto cuesta realmente el cibercrimen?

o Cmo se
inventan las estadsticas? (I)
septiembre 17, 2012 Deja un comentario

Son reales las estimaciones de Symantec y McAfee con respecto al

cibercrimen
El general Keith Alexander es el director de la Agencia de Seguridad Nacional (NSA) de EE.UU. y supervisa el cibercomando, lo que
significa que lidera los esfuerzos del gobierno para proteger a Estados Unidos de ataques cibernticos.
Alexander advirti que los ataques cibernticos estn causando la mayor transferencia de riqueza en la historia, y cit estadsticas.
Segn Symantec, el robo de la propiedad intelectual cuesta a empresas estadounidenses U$S 250 mil millones al ao. Segn McAfee,
el coste global de la ciberdelincuencia es de U$S 1 billn. En su primer discurso importante de ciberseguridad en 2009, el presidente
Obama tambin cit las estadsticas de McAfee. Alexander a continuacin inst al Congreso a promulgar una legislacin para mejorar
la ciberdefensa de Estados Unidos.
Sin embargo varios blogs y estudios acadmicos han expresado anteriormente su escepticismo acerca de estas estimaciones, pero
esto no ha impedido que una serie de funcionarios pblicos y polticos las sigan citando pblicamente. Ahora, un examen de sus orgenes
por ProPublica ha encontrado nuevos motivos para cuestionar los datos y mtodos utilizados para generar estos nmeros.
Con respecto a los billones de dlares estimados por McAfee, el nmero es cuestionado incluso por los tres investigadores
independientes de la Universidad de Purdue a quienes McAfee cita en el anlisis de los datos en bruto, de los que finalmente sali la
estimacin. Yo estaba realmente consternado sobre el nmero cunado sali en las noticias, debido a que era muy, muy grande,
dijo Eugene Spafford, profesor de informtica en Purdue.
Spafford fue un contribuyente clave en el informe, Unsecured Economies: Protecting Vital Information [PDF]. La estimacin del billn
de dlares fue publicado por primera vez en un comunicado de prensa emitido por McAfee para anunciar el informe pero el nmero no
aparece en el propio informe. Un portavoz de McAfee dijo a ProPublica que la estimacin fue una extrapolacin de la empresa, con
base en los datos del informe. Luego, ejecutivos de McAfee han mencionado la cifra de un billn de dlares varias veces y en 2011
McAfee lo public una vez ms en su nuevo informe, Underground Economies: Intellectual Capital and Sensitive Corporate Data Now the
Latest Cybercrime Currency [PDF].
Adems de los tres investigadores de Purdue que fueron factores clave del informe, otros 17 investigadores y expertos figuraban
como contribuyentes al informe original de 2009, aunque solo algunos de ellos fueron entrevistados por los investigadores de Purdue.
Entre ellos se encontraba Ross Anderson, profesor de ingeniera de seguridad en la Universidad de Cambridge, quien dijo a ProPublica que
l no saba nada de la estimacin de U$S 1 billn antes de que fuera anunciado. Si lo hubiera sabido, lo hubiera objetado en el
momento, dijo.
El uso de estas estimaciones llega en medio del debate sobre el aumento de los ataques cibernticos; advertencias de un Pearl Harbor
digital se estn convirtiendo en casi una rutina. Un ataque ciberntico podra detener nuestra sociedad , dijo el general Martin
Dempsey, jefe del Estado Mayor Conjunto, a principios de este ao. Bloomberg inform la semana pasada que un grupo de hackers
chinos, a los que las agencias de inteligencia de Estados Unidos se refiere como Byzantine Candor, han robado informacin sensible
o clasificada de 20 organizaciones.
No hay duda de que muchos de los delitos informticos, ciberespionage e incluso actos de guerra ciberntica estn ocurriendo, pero
la magnitud exacta no est clara y los costos financieros son difciles de calcular porque es difcil conseguir datos slidos. Basarse en
estimaciones imprecisas o no verificables es peligroso, dicen los expertos, ya que puede inclinar las prioridades de un pas y aumentar
su gasto innecesariamente.
Adems de vender software antivirus ambas empresas tambin venden una gama de productos de seguridad para agencias
gubernamentales y empresas privadas, incluidos los operadores de infraestructuras crticas, como las centrales elctricas y los
oleoductos. Symantec est haciendo un trabajo excepcional en el anlisis de amenazas, pero an as, por supuesto que tienen un
inters en retratar un ambiente peligroso porque as pueden beneficiarse, dijo Thomas RID, experto en seguridad ciberntica en el
Kings College de Londres.
Sal Viveros, relaciones pblicas de McAfee y quien supervis el informe de 2009, dijo a ProPublica, Trabajamos con centros de
investigacin y universidades para asegurarnos de que nuestros informes no sean parciales y tan precisos como sea posible. El
objetivo de nuestros trabajos es educar sobre los problemas y los riesgos que enfrentan las empresas. Nuestros clientes confan en
nosotros para ofrecerles nuestro conocimiento.
El origen de los U$S 250 mil millones en prdidas anuales por robo de propiedad intelectual -mencionado por Symantec- sigue siendo
un misterio pero la empresa dijo que sus estimaciones se elaboran con mtodos estndares utilizados por los gobiernos y las empresas
para llevar a cabo encuestas de consumidores.