La economía de la ciberseguridad: cuál es el verdadero valor del antivirus
Los compradores rara vez hacen uso de toda la información necesaria para evaluar la utilidad de un producto o servicio en particular, incluso cuando es fácilmente accesible. Sin embargo, en la mayoría de los casos, ni siquiera disponen de una fracción de todo lo que ofrecen los fabricantes o proveedores.
Este desequilibrio de información deja a los compradores de programas antivirus a merced de las fuerzas invisibles del mercado o, peor aún, de los fabricantes que lo dominan. Los consumidores que no están de acuerdo con este panorama compran productos más baratos (reduciendo así el riesgo de pagar de más por un producto con características que no están en condiciones de evaluar), o bien posponen la decisión de compra hasta que haya más información disponible.
En la otra cara de este dilema está el costo de no hacer nada, una práctica muy extendida. En el contexto de la ciberseguridad, esto significa que la decisión de no comprar software antivirus podría terminar costándote mucho más que el valor de una licencia para un equipo si un ransomware, como por ejemplo CryptoLocker, llega a destruir todos tus datos, fotos y correspondencia.
El valor de una solución de ciberseguridad
Precisamente debido al costo de no hacer nada es que somos capaces de determinar el valor que tiene una solución. Para estimar dicho costo, se usa una medida conocida como “Valor en riesgo” (VaR, del inglés “Value at Risk”), que indica la probabilidad de que haya una pérdida específica dentro de un plazo específico.
Por ejemplo, después de analizar un grupo de estadísticas determinado, puedes llegar a la conclusión de que hay un 1% de posibilidad de que, dentro de un año, un ataque de DDoS inhabilite tu negocio online por un día, lo que dará lugar a una pérdida de beneficios de USD 10.000. Si la gerencia de tu empresa decide que es un riesgo aceptable, no hay necesidad de invertir en medidas de seguridad (pero si la desgracia toca a la puerta, nadie podrá decir que no lo sabía).
El VaR nunca es cero, ni siquiera para los usuarios típicos de PC, quienes ponen sus datos en riesgo cada vez que hacen algo online. Así lo confirman los historiales de software antivirus, que registran los incidentes de malware que evitó el software de seguridad, y también lo indican otras herramientas como Virus Radar de ESET.
Aceptación y agravamiento del riesgo
A medida que se hizo cada vez más evidente que el riesgo de una infección de malware nunca puede ser evitado al 100%, independientemente del tiempo y dinero invertidos, la actitud en general optimista de la comunidad de Internet comenzó a decaer.
En un momento dado, Brian Dye, el ex vicepresidente senior de seguridad informática de Symantec, llegó al punto de decir lo que ya escuchamos tantas veces: que el software antivirus está muerto. Basó su argumento en la debatida afirmación de que casi todos los daños cibernéticos son causados por los ataques llamados “zero-day“, que aprovechan vulnerabilidades aún desconocidas para los desarrolladores y los fabricantes de programas antivirus.
Según Dye, la eficacia del software de seguridad es significativamente menor cuando se enfrenta a estos ataques. Además, apenas se descubren, los ciberdelincuentes pasan a la siguiente vulnerabilidad explotable, dejando obsoleta la protección de esos ataques anteriores. Sin embargo, incluso si tomamos este argumento al pie de la letra, el antimalware todavía es capaz de detener algunos ataques “de día cero”, lo que es mejor que nada.
De hecho, es mucho mejor: si nos basamos en las cifras que usa Dye para respaldar su argumento, los programas antimalware comerciales detienen el 45% de los ataques previamente desconocidos. Además, la actitud de los profesionales de TI que consideran que el antimalware es redundante no se basa en la imprudencia, sino en la aplicación de procedimientos eficaces de backup y recuperación de datos: por lo tanto, sus archivos, de todas formas, estarán seguros.
Pero este no es el caso de los usuarios típicos, que se llevan una parte significativa de las brechas de seguridad.
No solo tienden a caer en las trampas de ingeniería social, sino que a veces directamente pasan de largo con el semáforo en rojo. Un estudio realizado por la Escuela de Ciencias de la Computación de la Universidad Carnegie Mellon reveló que el 21% de los usuarios evaluados ignoraron las advertencias de phishing activas en sus navegadores web.
Los autores de un estudio de Microsoft Research sobre el uso de contraseñas estiman que el 0,4% de los usuarios de Internet ingresan sus contraseñas en sitios verificados de phishing. Aunque este porcentaje no parezca mucho, las consecuencias pueden ser terribles, como ocurrió con la reciente infiltración de los sistemas del Comité Nacional Demócrata de los Estados Unidos.
Los atacantes, aparentemente rusos, copiaban los dominios de las organizaciones seleccionadas y engañaban a las víctimas para que ingresaran sus credenciales. Según el informe del FBI, “al menos un individuo víctima del ataque activó enlaces a un malware alojado en la infraestructura operativa de archivos adjuntos abiertos que contenían malware”, mientras que otros fueron engañados para divulgar sus contraseñas en un dominio de correo web falso alojado en la infraestructura del atacante.
Las cosas se hacen más difíciles para el resto de nosotros
Tanto si eres un usuario corporativo o doméstico, tu actitud individual hacia la seguridad afecta la red completa, ya que tus recursos de TI se pueden usar para propagar amenazas y causarles daños a otros usuarios ubicados en cualquier parte del mundo. Aquí es donde las estimaciones sobre daños globales por malware entran en juego.
Inga Beale, CEO de Lloyds, dijo que los ciberataques les costaron a los negocios en todo el mundo hasta USD 400 mil millones en 2015, y un estudio conjunto de IBM y el Ponemon Institute que encuestó a 350 empresas de todo el mundo víctimas de una brecha en 2015 indicó que el costo promedio de dichos incidentes llegó a USD 3,79 millones: un costo total de más de USD 1,3 mil millones solamente para esa muestra.
No importa cuánto menosprecies el valor del software de seguridad; el desfase entre el total de los daños causados por el malware y el dinero gastado en soluciones antimalware a nivel mundial sigue siendo enorme. En 2015, todos los fabricantes de software de seguridad generaron ingresos combinados por un total de aproximadamente USD 22 mil millones, alrededor del 5% del costo estimado causado por todos los ciberataques en ese mismo período.
Dado que, según las estimaciones, los ciberdelincuentes no muestran signos de ceder, los daños causados por el malware podrían llegar a los USD 2,1 billones en 2019. No es de extrañar que, en ciertos casos, asumir riesgos de ciberseguridad ya no está permitido por la ley.
La seguridad cibernética deja de ser un asunto privado
La ciberseguridad ha formado parte de la agenda legislativa mundial desde hace ya algún tiempo. En 2007, la Unión Europea, aunque un poco en desacuerdo sobre cómo definir lo que califica como delito cibernético, comunicó la necesidad de crear “una política general de lucha contra el cibercrimen”.
De acuerdo con esta política, el Reglamento General de Protección de Datos, que entrará en vigencia en mayo de 2018, aumentará las sanciones para las instituciones que manejan datos privados y que no implementan las medidas de seguridad cibernética apropiadas.
La regulación gubernamental de la ciberseguridad puede verse como una sobrecarga injusta de los costos de seguridad de TI para el sector privado.
Sin embargo, como observó Ross Anderson de la Universidad de Cambridge en su curso EdX, el problema es que faltan incentivos para la protección de los respectivos servicios públicos: la mayoría de las veces, el crimen cibernético se reduce a una serie de pequeños robos (un par de cientos de dólares por aquí, un par de cientos de dólares por allá), y así logra permanecer fuera del radar de la policía.
Además, los perpetradores de ciberdelitos suelen estar ubicados en una jurisdicción diferente y, por lo tanto, son inaccesibles para las agencias policiales locales. Más allá de que este cambio en la responsabilidad esté justificado o no, se ha convertido en una circunstancia inevitable que incrementa los costos para los negocios: si tu empresa decide no acatar los requisitos de seguridad de TI que exige la ley, quedará expuesta a posibles sanciones y juicios.
Por último, ¿cuánto deberías invertir?
En su artículo de 2002 The Economics of Information Security Investment (Aspectos económicos de la inversión en seguridad informática), Lawrence Gordon y Martin Loeb de la Universidad de Maryland estimaron que, en la mayoría de los casos, la inversión óptima en seguridad informática es menor o igual al 36,97% de la pérdida esperada en caso de no haber seguridad.
Algo importante que hay que recordar es que el firewall y el software antivirus son solo una parte de la solución (y del 36,97% de Gordon y Loeb). Si quieres proteger tu empresa, necesitas capacitar a los usuarios, hacer campañas de concientización y poner en práctica una serie de medidas preventivas y correctivas. Por lo tanto, la cifra de Gordon y Loeb representa el costo total de todos los productos y las actividades de seguridad cibernética que tu empresa debe implementar si desea mitigar efectivamente los respectivos riesgos.
En lo que respecta a los usuarios individuales, es interesante ver cuánto tienden a pagar para rescatar sus recursos de TI cuando se ven obligados a hacerlo. De acuerdo con un informe de IBM, casi el 40% de los consumidores estaría dispuesto a pagar más de USD 100 para recuperar sus datos, y la mayoría de los pedidos de rescate del ransomware superan los USD 300 por víctima.
La paradoja es que los usuarios típicos no saben cuánto están dispuestos a pagar antes de que ocurra un incidente de seguridad, por lo que a veces comprenden demasiado tarde que les hubiera convenido pagar USD 50 para evitar un gasto posterior de USD 300.
Más allá de la opción que elijas como usuario individual, recuerda que las soluciones antivirus rudimentarias se pueden instalar en forma gratuita, los parches regulares de software no cuestan nada y el costo de los backups básicos de datos se puede reducir al valor de una sola memoria USB que incluso probablemente ya tengas. En otras palabras, la implementación básica de los tres aspectos clave de la seguridad de la PC no debería costarte absolutamente nada.
En última instancia, hay dos maneras de decidir qué hacer con la seguridad. La primera es comprobar los requisitos reglamentarios que se aplican a tu negocio, estimar tu VaR y los inconvenientes que tendrías para restaurar tus sistemas, y compararlos con el costo de una solución de seguridad.
Como alternativa, simplemente puedes confiar en el mercado de soluciones y servicios de ciberseguridad, que se estima que crecerá de USD 75 mil millones en 2015 a USD 170 mil millones en 2020. No es que el conformismo sea un enfoque sensato cuando se trata de tomar decisiones estratégicas, pero al menos, antes de que puedas discrepar, asegúrate de saber por qué y qué hacer si te equivocas.
Miroslav Nikolac
Business development en ESET Croacia
Fuente: http://www.welivesecurity.com/
Fecha de consulta: 23 marzo 2017
