Las encuestas sobre ciberdelincuencia no nos dicen lo que necesitamos saber

Durante años, los funcionarios gubernamentales, los artículos de noticias y las empresas de seguridad han advertido sobre los peligros y el impacto del ciberdelito. Patrick Peterson, investigador jefe de seguridad de Cisco, ha estimado que las pérdidas totalizaron $ 560 millones en 2009. Killian Strauss, de la Organización para la Seguridad y la Cooperación en Europa, las ha estimado en $ 100 mil millones anuales. Y en marzo de 2009, Edward Amoroso, director de seguridad de AT&T, presentó un testimonio escrito ante el Comité de Comercio, Ciencia y Transporte del Senado de los EE. UU. Estimando que el delito cibernético generaba ingresos ilícitos de aproximadamente 1 billón de dólares al año.

Para algunos investigadores, esos números tremendamente diferentes sugieren que los métodos actuales para calcular las pérdidas por delitos cibernéticos son tan deficientes que en realidad no tenemos idea de la gravedad del problema. Y sin buenos datos, dicen, no hay forma de combatirlo de manera inteligente.

¿Cómo puede ser esto? dice Cormac Herley , investigador principal de Microsoft Research, su voz se elevó con incredulidad. ¿Cómo se pueden tener estimaciones del mismo problema en tres órdenes de magnitud?



De hecho, dice Herley, cuando vio estos números sintió que simplemente no tenían sentido. No solo están por todo el mapa, sino que algunos de ellos también parecen increíblemente altos. Por ejemplo, dice, los ingresos por delitos cibernéticos de $ 1 billón significan $ 5,000 por cada adulto estadounidense que pasa tiempo en línea.

Los datos incorrectos tienen consecuencias. Sin números, no podemos tomar buenas políticas ni decisiones de inversión acertadas, dice Herley. No solo eso, sino que no podemos averiguar de dónde provienen las amenazas clave. ¿Los delincuentes obtienen la mayor parte de su dinero con el registro de claves? ¿Ataques de phishing altamente dirigidos (spear phishing)? ¿Ataques de fuerza bruta a las contraseñas de las personas? Es angustioso, dice.

Herley se embarcó en un estudio de los métodos utilizados para calcular estos números y los encontró muy deficientes. La mayoría de las estadísticas provienen de encuestas en las que se les pide a los encuestados que informen si han sido víctimas de un delito y cuánto perdieron. Las encuestas son difíciles, dice Herley. Su investigación reveló una serie de razones por las que las encuestas sobre el ciberdelito son particularmente difíciles.

Los científicos tienen métodos bastante buenos para estudiar, digamos, las intenciones de los votantes. En ese caso, te concentras en obtener una buena muestra representativa. Las inexactitudes importan, pero unas pocas de una forma u otra no harán mucha diferencia.

El ciberdelito es una historia completamente diferente. Por un lado, las encuestas sobre delitos informáticos están tratando de medir un número: cuánto dinero se perdió. En ese caso, las respuestas individuales pueden marcar una gran diferencia. Una encuesta de votación no se pierde mucho si alguien que realmente planea votar por los demócratas declara su intención de votar por los republicanos. Pero si un encuestado que ha perdido $ 50,000 por delitos cibernéticos afirma haber perdido $ 500,000, cualquier cálculo basado en esa información estará completamente fuera de lugar.

Hay otros problemas. Cualquier votante registrado tiene información útil para reportar. Pero no todo el mundo tiene una historia útil que contar sobre el ciberdelito, lo que significa que una pequeña cantidad de respuestas puede marcar una gran diferencia. Por ejemplo, en una encuesta de 2006 realizada por Gartner Research, 128 de 4.000 personas afirmaron haber sido víctimas. Herley calcula que el 59 por ciento de las pérdidas provino del 1 por ciento superior de los encuestados que habían sido víctimas, en este caso, una sola persona. Él cree que tales preocupaciones hacen que sea imposible confiar en los datos provenientes de la mayoría de las encuestas sobre delitos cibernéticos.

Comprender el impacto de cualquier delito es problemático, dice Julie Ryan , profesor principal de gestión de la seguridad de la información en la Universidad George Washington. Sin embargo, dice Ryan, el ciberdelito presenta problemas particulares porque la mayoría de las personas no están bien equipadas para responder preguntas técnicas al respecto. Por ejemplo, es posible que los encuestados individuales no estén seguros de si han sido víctimas de un ataque de phishing o, de hecho, si se les quitó algo como resultado. Entonces aquí tenemos un problema, dice Ryan. Crimen potencial que es potencialmente indetectable, agravado por un espacio objetivo que es mayormente ignorante.

Para agravar el problema, es difícil obtener información imparcial, dice Ryan. Las grandes corporaciones pueden ser reacias a admitir ser víctimas de un ciberdelito, ya que tal admisión podría hacerles perder clientes. Por otro lado, las empresas de seguridad, que a menudo realizan encuestas sobre el delito cibernético, se benefician cuando las personas se toman en serio el delito cibernético.

Herley quiere que las empresas y organizaciones que realizan encuestas publiquen mucha más información, lo que facilita a los investigadores la evaluación de sus métodos. Por ejemplo, podrían publicar cifras medias de ciberdelito, que no son tan probables como las cifras medias o medias de estar distorsionadas si algunas personas exageran o se equivocan.

Herley también sugiere que las reclamaciones de grandes pérdidas reciban un escrutinio cuidadoso. Corre el riesgo de un error catastrófico, dice.

esconder