noticias de seguridad

¿Cuánto cuesta realmente el cibercrimen? (II) septiembre 18, 2012 § Deja un comentario

¿De dónde salió el billón de dólares en pérdidas por ciberdelincuencia que menciona Mcafee? McAfee fue fundada por John McAfee, un ingeniero de software que escribió algunos de los primeros antivirus en la década del ’80. La empresa creció rápidamente, gracias a una estrategia de marketing novedoso en aquellos días, regalar su software. La compañía salió a bolsa en 1992 y sigue siendo un líder en su campo, el año pasado fue adquirida por Intel Corp. por U$S 7,68 mil millones.“Hemos tenido una sola misión: ayudar a nuestros clientes a mantenerse a salvo. Logramos esto mediante la creación de soluciones de seguridad proactivas para asegurar su mundo digital” dice Mcafee en su sitio web. Según vimos en la primera parte, en 2008 McAfee decidió encargar un informe para observar cómo la crisis económica mundial estaba afectando el robo de datos en contra de las empresas. Viveros, un directivo de relaciones públicas de la empresa contrató a una empresa para crear y distribuir una encuesta a cerca de 1.000 ejecutivos de tecnología de la información en todo el mundo. Un grupo de personas de la Universidad de Purdue, encabezado por Spafford, analizaron los resultados de la encuesta, llevaron a cabo las entrevistas y ayudaron a redactar el informe. El informe de 31 páginas [PDF] encontró que las empresas encuestadas tenían un promedio de U$S 12 millones en información confidencial almacenada en sus sistemas informáticos en 2008, y que cada uno perdió un promedio U$S 4,6 millones en propiedad intelectual en 2008. El informe fue publicado el 29 de enero de 2009, en Davos, Suiza, durante una reunión del Foro Económico Mundial. McAfee publicó un comunicado de prensa y el lanzamiento incluyó números dramáticos que no figuraban en el informe. “Las empresas encuestadas estiman que perdieron un total de U$S 4,6 mil millones en propiedad intelectual sólo el año pasado, y aproximadamente U$S 600 millones en la reparación de los daños”, dice el comunicado. “En base a estos números, McAfee estima que las empresas perdieron más de U$S 1 billón el año pasado”. El comunicado contenía una cita al entonces presidente y jefe ejecutivo de Mcafee, David DeWalt, en la que se repite la estimación de U$S 1 billón. El titular de la nota de prensa era “Las empresas pierden más de U$S 1 billón en propiedad intelectual debido al robo de datos y la ciberdelincuencia”. La estimación del billón de dólares fue recogida por los medios de comunicación, como Bloomberg y CNET, y no expresaron ningún escepticismo. Pero por lo menos un observador tuvo dudas: Amrit Williams, un consultor de seguridad,escribió en su blog unos días más tarde que el informe era un FUD: “¿U$S 1 billón al año? ¿En serio? ¿De dónde diablos viene eso? Para darle un poco de perspectiva, el PIB de EE.UU. es de aproximadamente 14 billones de dólares anuales”. Las noticias llamó la atención y preocupó de algunos de los colaboradores del informe de McAfee porque estaban conectando sus nombres a una estimación de la que no tenían conocimiento previo y se mostraron escépticos de ella. Uno de los colaboradores, Augusto Paes de Barros, un consultor de seguridad de Brasil,escribió en su blog una semana después del comunicado de prensa que a pesar de que estaba contento de haber participado en el informe, “No he podido encontrar ningún dato en ese informe que podría dar lugar a ese número… Me gustaría ver cómo lo encontraron”. Además otro investigador Peter Lindstrom también remarcó que dicho número nunca aparecía en el informe. McAfee nunca dió ninguna explicación pública de cómo llegó al billón de dólares.“Al principio sólo íbamos a hacer el informe, pero mucha gente nos preguntaban cuál era el número total, por lo que hemos trabajado en un modelo”, explicaron desde McAfee. Esta semana, en respuesta a las preguntas de ProPublica, reveló detalles sobre la metodología: “los cálculos fueron realizados por un grupo de funcionarios de tecnología, comercialización y ventas de McAfee y se basan en las respuestas obtenidas en la encuesta”. “McAfee extrapoló el billón de dólares basado en la pérdida de datos promedio por empresa, multiplicado por el número de empresas similares en los países que estudiamos”, dijo Viveros en un correo electrónico. Sin embargo, el método mencionado por la empresa no cumplía con las normas de los investigadores de Purdue a quienes habían contratado para analizar las respuestas de la encuesta y ayudar a escribir el informe. En entrevistas telefónicas y correos electrónicos a ProPublica, profesor asociado de Jackie Ulmer Rees dijo que estaba desconcertado cuando, pocos días antes de la aparición del informe, recibió un borrador del comunicado de prensa que contenía la cifra del billón.“Expresé mi preocupación por el número y les dije que dicho número no era soportable por el estudio”. Viveros dijo que McAfee nunca fue informado por Purdue de que el número no podía ser apoyado por la encuesta y entonces la compañía siguió adelante con el comunicado de prensa. Ahora “el número tiene una vida propia”. En febrero de 2009, el presidente Obama ordenó una revisión de ciberseguridad de 60 días para investigar posibles formas de proteger mejor al país de ataques cibernéticos, y nombró a Melissa Hathaway, quien se desempeñó como asesor de seguridad cibernética en la administración Bush, para supervisar el esfuerzo. El 29 de mayo, Obama dio a conocer su opinión y pronunció su