Video: Hombre mató a balazos a uno de los ladrones (Noviembre 2024)
Cuando un ladrón arroja un ladrillo a través de la ventana de un joyero y se lleva las existencias, sus ganancias son sustancialmente menores que las pérdidas del joyero. El ladrón tendrá que cercar los artículos por debajo de su valor real, ya que están "calientes". El joyero no solo ha perdido el valor de la mercancía, sino que tiene que pagar por una nueva ventana. Del mismo modo, un ciberdelincuente que robe un millón de números de tarjetas de crédito podría venderlos por unos pocos miles de dólares; notificar a un millón de clientes y configurarlos con nuevas tarjetas le costará mucho más al emisor de la tarjeta.
Esta disparidad generó una idea para Stefan Frei, Vicepresidente de Investigación de NSS Labs. La mayoría de los ataques cibernéticos rompen la seguridad de la empresa víctima al explotar algún tipo de vulnerabilidad en el sistema operativo u otro software. ¿Qué pasaría si pudiéramos quitar esa herramienta de los ladrones? En un artículo de investigación detallado, Frei y su analista Francisco Artes explican la audaz idea de crear un Programa Internacional de Compra de Vulnerabilidades (IVPP) que pagaría más por las vulnerabilidades de lo que los delincuentes pueden permitirse.
Corriendo los números
Diferentes expertos ofrecen diferentes estimaciones de pérdidas financieras en todo el mundo debido al delito cibernético, pero oscilan entre decenas de miles de millones y cientos de miles de millones. Frei ejecutó las cifras sobre vulnerabilidades publicadas en 2012 y descubrió que el costo de comprar cada una por $ 150, 000 habría sido mucho menor que la cantidad de daño financiero que causaron.
Primero, veamos el costo más alto y el rendimiento más bajo. Suponga que el IVPP pagó $ 150, 000 por cada vulnerabilidad, independientemente de la gravedad o prevalencia del software involucrado y, por lo tanto, evitó pérdidas financieras de diez mil millones. El costo de compra es un poco menos del 8 por ciento de las pérdidas en el peor de los casos.
Sin embargo, un tercio de las vulnerabilidades explotadas se encontraron en los programas de los diez principales proveedores. Solo pagando por eso y aceptando un estimado de 100 mil millones por pérdidas, el costo baja al 0.3 por ciento del valor perdido. Una escala graduada de pago basada en la gravedad también reduciría los costos. A modo de comparación, el informe señala que las empresas minoristas en los Estados Unidos esperan perder del 1, 5 al 2, 0 por ciento de las ventas anuales por hurto o "reducción de inventario".
El informe también encontró que el costo de comprar todas las vulnerabilidades en 2012 habría sido de aproximadamente el 0.005 por ciento del PIB de los EE. UU. O de la Unión Europea, y menos del 0.3 por ciento de los ingresos totales para la industria del software.
Los agujeros de seguridad están aquí para quedarse
Parte del documento revisa la situación actual con respecto a las vulnerabilidades de software. En pocas palabras, incluso si fuera posible escribir software sin fallas, no sería rentable. El gran costo de una violación de datos recae en la compañía que fue violada, no en el proveedor del software defectuoso. En términos comerciales, ese costo es una "externalidad negativa" para el proveedor de software, y "las empresas con fines de lucro no invierten en eliminar las externalidades negativas".
Es probable que los usuarios puedan forzar el problema al negarse a comprar software de proveedores de software que contenga agujeros de seguridad. En la práctica, sin embargo, las vulnerabilidades son la norma. Todos los esperamos, y no se van a ir. El informe señala que "no hay responsabilidad legal por la calidad del software, y es poco probable que esto cambie pronto".
El investigador que descubre un nuevo agujero de seguridad puede presentarlo silenciosamente al vendedor, anunciarlo públicamente o venderlo al mejor postor. Un estudio anterior de NSS Labs reportó un próspero negocio de reventa para las hazañas del mercado negro. El informe señala que las cosas serían mucho peores si no fuera porque muchos investigadores de seguridad se abstienen altruistamente de vender a vendedores negros.
Los ladrones no pueden competir
En un mundo de oferta y demanda, puede pensar que los delincuentes solo competirían con los buenos, ofreciendo más por nuevas vulnerabilidades. El informe señala que la misma disparidad entre una pequeña ganancia para los delincuentes y una gran pérdida para las víctimas significa que los delincuentes simplemente no pueden competir. No pueden ofrecer más que sus ingresos máximos previstos, mientras que un IVPP podría pagar mucho más para evitar pérdidas colosales.
De hecho, la recompensa sustancial por los agujeros de seguridad recientemente encontrados probablemente conduciría a más descubrimientos. Un investigador cuya única recompensa potencial es una palmada en la espalda, una camiseta o unos pocos cientos de dólares simplemente no está tan motivado. Cuando agarrar el anillo de bronce te da $ 150, 000, esa es una historia diferente.
Grandes planes
El informe completo ofrece una propuesta detallada de cómo funcionaría un Programa de compra de vulnerabilidad internacional. Cubre todo, desde quién pagaría, cómo se realizarían los informes, la estructura organizativa completa y más.
Va a suceder? Eso aún está por verse. Pero este informe muy bien pensado me convence de que realmente podría funcionar.
