Un excelente artículo de J.G. van Eeten y Johannes Bauer, publicado por la OCDE hace escasamente una semana, estudia la economía de aquellos aspectos de la seguridad informática relacionados con el "malware".
El artículo comienza con un armazón teórico muy sólido, en el que gráficas comprensibles (no quiero decir sencillas porque sí requieren cierta concentración) permiten entender los efectos económicos de acciones como elevar las inversiones en seguridad, abaratar la creación de malware o encarecer la actividad maliciosa, etc. y sus interacciones.
Después, van Eeten y Bauer se adentran en las implicaciones de este marco teórico y analizan la interacción entre seguridad y agentes maliciosos en términos de externalidades económicas así como de interacciones en las que no hay estas externalidades (son las menos). Las externalidades se refieren a temas como los costos en que incurre toda la sociedad cuando algunos usuarios no protegen sus computadoras contra el "malware" que no los afecta a ellos pero sí a terceros (como el de distribución de "phishing").
Una de las ideas que dejan muy claras - parece una obviedad pero no está tan extendida como debiera - es que los actores racionales de los mercados no aspiran a una "seguridad absoluta" sino que sólo gastan en seguridad tanto como sea necesario para acotar los costos asociados a la inseguridad. Sabemos que los bancos, por ejemplo, aceptan un número limitado de incidentes, mientras el costo de responder a éstos no sea superior al de prevenirlos. Inteligentemente, van Eeten y Bauer consideran, por supuesto, que hay actores irracionales, y acciones en que no todos los actores interactúan de manera óptima.
En este marco les resulta fácil plantear problemas como el impacto de que los bancos decidan compensar, o no, las pérdidas de sus usuarios debido al "phishing" o que, como ocurre en Nueva Zelanda, presionen para producir cambios legislativos que transfieren explícitamente mayor responsabilidad a los usuarios en evitar el "phishing".
Dejan sin tratar algunos temas interesantes, como la economía de la comisión de los delitos y conductas perniciosas, por ser muy imprecisos los datos al respecto (ya lo son los que sí utilizan sobre el impacto de los daños económicos contabilizables), o el impacto que podrían tener medidas, como las que proponen Bruce Schneier y otros, que impongan un costo a la responsabilidad de las compañías que produzcan software cuyas vulnerabilidades produzcan el espacio en que se mueve el delito cibernético.
Sin embargo, estas ausencias - más que deficiencias, temas pendientes - son un estímulo y no un obstáculo. Un estudio cuidadoso del artículo puede ser un magnífico insumo para plantear políticas públicas realistas que traten a la seguridad como un tema principalísimo de la Agenda Digital. Altamente recomendable; una estupenda referencia para elevar el nivel de discusión.
Ejercicio para el lector: visite el sitio de "malware" de UNAM-CERT y analice las externalidades e interacciones entre los actores en el caso de que un proveedor de infraestructura con 10 millones de clientes deje subsistir en ésta una vulnerabilidad, soluble por el fabricante de equipo de esa infraestructura, que permite que el acceso de los clientes a sus bancos sea redirigido a sitios de "phishing" por medio de una manipulación del DNS inobservable para los clientes. ¡Un verdadero día de campo para van Eeten y Bauer!
Malware = Windows por que no dejarlo explicito?
ResponderBorrar