¿Qué tan complicado es medir los daños por la ciberdelincuencia?

La cadena de comida rápida Chick-Fil-A y el banco de inversión Morgan Stanley se unieron a la larga lista de compañías estadounidenses que han admitido que sus sistemas han sido hackeados, poniendo en riesgo la información financiera de los clientes.

Las empresas que reconocen pérdidas pasan apuros para cuantificarlas.

Cuántas empresas sufren por la ciberdelincuencia y cuánto les cuesta finalmente son enormes elementos desconocidos. En parte, esto se debe a que mucho del hackeo no es detectado, y en parte porque las empresas en ocasiones tratan de encubrir las violaciones a la seguridad de los datos para evitar una situación embarazosa.

El 12 de enero, el presidente Barack Obama lanzó una nueva campaña para mejorar la seguridad y privacidad de datos, la cual incluiría una nueva Ley de Protección y Notificación de Datos Personales. Esta ley requeriría que las compañías alerten a los clientes en un plazo de 30 días tras descubrir que su información ha sido hackeada.

Por el momento, señaló Obama, una mezcolanza de leyes a nivel estatal ofrece escasa protección a los consumidores. A falta de una ley federal de revelación firme y bien aplicada, las pérdidas de las compañías tras el hackeo se desconocen. La mayoría de las cifras que circulan son de empresas de seguridad de Internet y vienen acompañadas por “bastante exageración”, dijo Troels Oerting del Centro Europeo para la Ciberdelincuencia, parte de la Europol, la agencia policiaca de la Unión Europea.

Como resultado, dijo, algunas empresas exageran el gasto o dirigen mal su gasto en la protección de datos, pagando quizá 100 dólares por cada 50 dólares de pérdidas evitadas.

Si hubiera más revelación, y por tanto más información sobre la cantidad, los tipos y costos de la ciberdelincuencia, las compañías sabrían mejor cómo gastar sus presupuestos dedicados a la seguridad de la información.

También sería más fácil que resolvieran qué tipo de cobertura de seguro comprar: el gasto de las empresas estadounidenses en cobertura de responsabilidad cibernética aumentó de 1,300 millones de dólares en 2013 a aproximadamente 2,000 millones de dólares en 2014, dijo Andreas Schlayer, importante corredor de seguros en Munich Re de Alemania.

La mayoría de los estados norteamericanos tiene leyes que requieren algún tipo de revelación de los ataques de hackeo. Sin embargo, “una buena parte” de las empresas aún no los denuncian por temor al daño a sus marcas, dijo Mark Greisiger de Netdiligence, una empresa de seguridad cibernética de Pensilvania.

Los países europeos generalmente no requieren la revelación, de manera que aún menos empresas ahí se molestan en hacerlo, añadió Costin Raiu de Kasperksky Lab, una empresa rusa de seguridad en Internet.

Las empresas que reconocen pérdidas pasan apuros para cuantificarlas. En un sondeo el año pasado entre 4,881 practicantes de la seguridad en 15 países, realizado por el Instituto Ponemon en Michigan, 35 por ciento de las organizaciones que habían estado sujetas a una intrusión exitosa no estaban seguras de exactamente qué historiales habían copiado los ladrones.

Aun cuando se conozca qué información ha sido tomada, calcular el costo sigue siendo difícil. Si a un astillero le roban detalles de la negociación de un gran contrato a nombre de un rival, ¿cómo puede estar seguro de que no perderá el pedido de cualquier manera?

¿Cómo medirá Sony Pictures el daño de la liberación en Internet de los correos electrónicos de sus ejecutivos, que contienen comentarios desdeñosos hacia sus estrellas?

Foto: Getty

Todavía no existe una metodología amplia y vigorosa para estimar esos costos, dijo Roberto Baldoni, quien encabeza el centro de ciber-espionaje en la Universidad de La Sapienza en Roma.

Dmitri Alperovitch, fundador de Crowdstrike, una firma de seguridad californiana, dijo que los ciberataques parecen estar repuntando significativamente, pero que intentar estimar el daño es inútil. La mayoría de las cifras serán “pésimas”, dijo, “así que preferiríamos no participar en ese juego”.

No obstante, muchos otros grupos publican estimaciones. Consideramos una de un estudio de 2014 realizado por el Centro para Estudios Estratégicos e Internacionales, un grupo de análisis en Washington. La ciberdelincuencia, concluyó, sangra entre 300,000 millones de dólares y un billón de dólares a las empresas en todo el mundo cada año.

Un miembro del equipo del estudio dijo, sin embargo, que los datos válidos eran tan escasos que habían bromeado sobre publicar las conclusiones junto con un generador de cifras al azar en línea en el que los lectores pudieran dar clic hasta que produjera una estimación que les gustara.

“Eso fue un poco deprimente”, afirmó.

El estudio fue patrocinado por McAfee, un gran vendedor estadounidense de software antivirus. Su propio cálculo de 2009 del costo mundial para las empresas produjo la cifra de más de un billón de dólares. Esto fue duramente criticado como una exageración, incluso por investigadores que habían ofrecido a McAfee los datos de los cuales se extrapoló la estimación.

Uno de ellos, el científico computacional Eugene Spafford, de la Universidad de Purdue en Lafayette, Indiana, dijo que estaba “realmente horrorizado” por la exageración.

Sin embargo, McAfee publicó de nuevo la cifra en 2011, y aún circula.

La debilidad de muchas estimaciones se debe en parte a malas definiciones, dijo Ross Anderson, un experto en ingeniería de seguridad en la Universidad de Cambridge, en Gran Bretaña. Las declaraciones de impuestos y las reclamaciones de seguros, las prestaciones sociales y los reembolsos de viajes empresariales se tramitan cada vez más en línea. Esto ha animado a muchos a aglutinar los fraudes fiscales, de seguros, de beneficios y de gastos con la ciberdelincuencia genuina y, “¡clic!”, producir cifras enormes.

Sondear a mil votantes sobre sus preferencias a menudo puede ser una buena manera de predecir un resultado electoral. La mayoría de las estimaciones sobre la ciberdelincuencia también se basan en sondeos, pero hay una gran diferencia: A los encuestados se les pide ofrecer cifras especulativas, en vez de reportar preferencias, y esto a menudo conduce a enormes errores.

Digamos que las compañías que producen de manera acumulativa un 25 por ciento del PIB responden a un sondeo sobre ciberdelincuencia. La exageración de una sola empresa en un millón de dólares suma un dato falso de 400 millones de dólares al recuento cuando se escala para que refleje a toda la economía nacional.

El esfuerzo puesto en cuantificar el daño causado crecerá conforme se multipliquen las reclamaciones de seguros y las demandas.

Las compañías que han sufrido una pérdida, o sospechan que la han sufrido, probablemente estén más dispuestas a llenar un cuestionario sobre ciberdelincuencia que aquellas que no tienen esas preocupaciones. Por tanto, existe una tendencia inherente hacia la sobrestimación de las pérdidas. Un artículo de investigación de Microsoft, “Sexo, mentiras y sondeos de ciberdelincuencia”, concluye que “no se debe confiar” en las estimaciones numéricas derivadas por medio de este truco de multiplicación.

Hay en horizonte destellos de esperanza de mejores estimaciones. Como el gobierno de Obama, la Unión Europea está redactando legislación que obligue a las empresas a ofrecer información completa y rápida sobre los ataques de hackeo.

El esfuerzo puesto en cuantificar el daño causado crecerá conforme se multipliquen las reclamaciones de seguros y las demandas. Home Depot, por ejemplo, enfrenta al menos 21 demandas sobre los datos de clientes que perdió el año pasado.

Las pérdidas que los hackers causan a las empresas en ocasiones podrían ser exageradas, pero son importantes, y, casi seguramente, están creciendo.

#kgb