Materia, la web de noticias de ciencia

Lee, piensa, comparte

Microsoft cree que las cifras del cibercrimen están “enormemente exageradas”

Dos investigadores de la compañía aseguran en el informe ‘Sexo, mentiras y cibercrimen’ que el daño de la ciberdelincuencia es muy inferior al estimado por las compañías de seguridad

Más noticias de: cibercrimen, internet, seguridad informática, software


LEER
IMPRIMIR

El titular del informe ya lo deja claro: Sexo, mentiras y cibercrimen. Dos investigadores de Microsoft Research han escrito un estudio en el que concluyen que las cifras de la delincuencia online que ofrecen las compañías de software de seguridad, y que han llegado a cifrar este negocio en un billón de dólares anuales, no se justifican, ni se corresponden con la realidad y ni siquiera responden al sentido común. “Si hacerse rico fuera tan simple como descargarse y ejecutar software, ¿no se dedicaría más gente a hacerlo?”, se preguntan Dinei Florêncio y Cormac Herley en un polémico artículo en The New York Times  escrito tras su invstigación, y que ha sido recibido con incomodidad y desagrado en las sedes de las grandes compañías de seguridad.

Guardia Civil internet cibercrimenAmpliar

Dos investigadoras del grupo de Delitos Telemáticos de la Guardia Civil buscan información en internet. / Guardia Civil

Florêncio y Herley creen que la ciberdelincuencia es una lucha “desesperante, y que ofrece escasos beneficios para la mayoría”. La teoría de los investigadores es que la barrera de entrada a esta actividad es ciertamente baja, lo que significa, de hecho, que la mayor parte de las oportunidades de negocio están ya explotadas. ¿Por qué, entonces, leemos informes diarios que cuantifican en miles de millones las pérdidas provocadas por los virus, el spam o los robos de identidad y contraseñas en internet? Además, los usuarios de Internet están muy preocupados por la seguridad cibernética, según una nueva encuesta del Eurobarómetro hecha pública el lunes: el 74 % considera que el riesgo de convertirse en víctima de la ciberdelincuencia ha aumentado durante el año pasado.

Percepciones, y no datos

Los investigadores aseguran que el problema de todas estas cifras es, básicamente, metodológico. Las pérdidas suelen estar concentradas en grupos muy concretos de la población, así que realizar una extrapolación al total de los ciudadanos multiplica enormemente unas cifras que en realidad son muy reducidas. Un segundo problema es que muchos de esos datos se basan en las pérdidas reconocidas por los usuarios, es decir, en percepciones, y no en estudios reales. En conclusión, hay un número “enorme” de circunstancias “atípicas” que dominan los datos, “y esta es la regla, en lugar de la excepción”.

«¿Hay mucho trabajo por hacer? Sí. ¿Pero está el cibercrimen sobredimensionado? Absolutamente, no»


Ilias Chantzos
Symantec

Pablo Pérez, gerente del Observatorio de la Seguridad de la Información del Instituto Nacional de Tecnologías de la Comunicación (Inteco) cree que el estudio de Microsoft es “interesante”, ya que confirma que los estudios metodológicos en seguridad deberían hacerse “midiendo el perjuicio a los usuarios, y no la ganancia” de los supuestos delincuentes. La propia Inteco instala software en los PC que desean ser auditados, “para contrastar las percepciones con la realidad”. Pérez explica, además, que la mayor parte del fraude online en España (71%) es microfraude, es decir, inferior a 100 euros por usuario, lo que significa que muchos de ellos ni siquiera son conscientes de haber sido timados.

Un problema “muy serio”

Tras la polémica suscitada en el mundo del software de seguridad, Florêncio y Herley no han querido responder a las preguntas de MATERIA. Sí lo ha hecho Ilias Chantzos, director senior en Europa y Oriente Medio de relaciones con los gobiernos de Symantec, la mayor compañía de seguridad informática del mundo. Chantzos es contundente: “El presidente de la Interpol, Khoo Boon Hui, acaba de asegurar que el cibrecrimen genera más beneficios que las drogas. Es un problema muy serio”.  El directivo de Symantec cree que gran parte de las divergencias entre estudios se deben a las diferencias metodológicas de cada uno de ello, más que a errores de base, como sugiere Microsoft. “Hay muchos distintas formas de medir el problema: ¿cuentas los intentos de ataque, los ataques realizados o los que realmente han sido exitosos? Además, un alto porcentaje de esos ataques pasan desapercibidos, y muchos usuarios, sobre todo empresas, prefieren no comentarlos por cuestiones de imagen. El robo de un banco solo tiene una cara, pero el cibercrimen es muy complejo de definir”, dice.

¿Qué incidencia real tiene el fraude online en España?


  • Los últimos datos de Inteco sobre fraude en internet muestran que un 63% de los encuestados declara haber sido objeto de un intento de fraude a través de Internet o del teléfono móvil en los últimos 3 meses.
  • El porcentaje de fraudes que se llegan a consumar es diez veces menor.
  • El mayor fraude declarado por los usuarios de ordenador son las invitaciones para visitar alguna página web sospechosa, en un 43,3% de los casos.
  • En el caso del teléfono móvil, el mayor problema es haber recibido mensajes cortos de texto ofertando un servicio no solicitado, con un 11,3% de respuestas.
  • El 93,3% de los usuarios declara no haber sufrido perjuicio económico a consecuencia de un intento de fraude.

Chantzos reconoce, en todo caso, que se necesitan mejores estadísticas y más transparencia, y explica que la Unión Europea trabaja con  las compañías del sector en buscar esas mejoras, empezando por definir qué es exactamente el cibercrimen, decidiendo qué es lo que se mide y convenciendo a los usuarios de que ofrezcan los datos reales de los ataques que reciben. La Comisión Europea, de hecho, anunció el pasado marzo la creación de un centro para el estudio del cibercrimen que estará operativo en enero de 2013, “lo que significa que hay una razón para hacerlo”, concluye el experto. Pérez también cree que se necesitan “mayores muestras, más periodicidad en los estudios y la incorporación de los datos en series históricas. Es decir, tiempo, dinero y conocimiento”.

Chantzos resume: ”¿Hay mucho trabajo por hacer? Sí. ¿Pero está el cibercrimen sobredimensionado? Absolutamente, no. Hay muchos gobiernos y entidades supranacionales implicadas en esta lucha”. Sobre la razón por la que Microsoft opina lo contrario, el directivo de Symantec, un gigante que ingresa 6.000 millones de dólares en ventas anuales en soluciones de seguridad que, en casos, solucionan agujeros de Microsoft, no especula: “Pregúntele a ellos”.

Bruce Scheneir, uno de los mayores expertos en ciberseguridad del mundo, cree que el artículo acierta al describir que “el daño causado por el cibercrimen ha sido sobrevalorado. No dice que no sea importante. Los estudios están basados en encuestas y estimaciones, que son subjetivas. El gran problema es que no tenemos datos reales”, añade “y no hay una manera real de conseguirlos”.

Archivado en: cibercrimen, internet, seguridad informática, software




COMENTARIOS