Se puede definir al crimen cibernético de muchas maneras, pero más allá de la que elijas, todos estaremos de acuerdo en dos aspectos: hay demasiado y tenemos que hacer más para disuadirlo.

Ya que ahora el Presidente de los Estados Unidos de América está haciendo referencias frecuentes sobre "tomar más medidas con respecto al crimen cibernético", es un buen momento para analizar los pasos que se necesitan tomar, y creo que un poco de contexto será de ayuda.

Como definición del crimen cibernético, me gusta la siguiente: "crímenes en los cuales las redes informáticas constituyen el objetivo o son una herramienta substancial" (Koops, 2011). Esto prácticamente cubre la larga y creciente lista de incidentes más graves que salieron a la luz en los últimos 18 meses, incluyendo el ataque informático, el robo de datos y/o el ataque de denegación de servicio de: Target, Home Depot, JPMorgan Chase, Sony Pictures, Microsoft Xbox Live, Sony PSN, eBay, NSA, Adobe, Apple iCloud, y Community Health Systems.

Prevención, disuasión y costo del crimen cibernético

Recuerda que el tema de este artículo es principalmente la disuasión del crimen cibernético, no su prevención. La última abarca las cosas que hacemos para proteger nuestros sistemas y datos ante criminales: por ejemplo, la autenticación fuerte, el cifrado y las medidas para detectar y combatir el malware.

La disuasión del crimen significa hacer que éste resulte menos atractivo mediante: el incremento del riesgo (de detección, identificación, captura, procesamiento y sanción); la reducción de los beneficios (hacer que sea más difícil obtener una ganancia de la actividad criminal); y la profundización del repudio social y de las sanciones morales que la actividad criminal debería suscitar. En cuanto a las políticas y las estrategias, la idea general es que, al combinar la prevención del crimen con su disuasión, logramos reducirlo.

Puedes pensar que las razones para buscar una reducción del crimen cibernético son obvias, pero solo para ser claros: el crimen cibernético daña a empresas y organizaciones, a sus clientes y miembros, y a la economía. Tan solo pregúntale a cualquier organización que haya tenido que lidiar con el robo de datos personales extraídos de sus sistemas, o a las personas cuyos datos fueron robados y aprovechados para el robo de identidad y otros crímenes. Hay más información del impacto financiero del crimen cibernético en el Paso 6, donde hablo sobre nuestra incapacidad para medir el problema del crimen cibernético.

Seis pasos para la disuasión del crimen cibernético

No me hago ninguna ilusión al plantear estos pasos. Va a ser difícil ponerlos en práctica y no todos van a estar de acuerdo con ellos, en especial cuando pasen del enfoque general aquí descrito a los detalles específicos de su implementación. Pero sí considero que llegó el momento de promover estas acciones, antes de que la erosión de la confianza en la tecnología de redes disminuya su eficacia y empecemos a perder los beneficios de su despliegue.

Y para dejarlo bien claro, cuando digo "llegó el momento", quiero decir "ahora llegó el momento de realmente hacer algo en lugar de solo hablar de ello". Seamos honestos: el momento ideal ya llegó y pasó muchas veces en el pasado sin que se hayan tomado medidas suficientes, pero podemos abordar la falta de compromiso desde otro lado.

Esto es lo que tenemos que hacer:

1. Aplicar presión internacional

El crimen cibernético no debe tolerarse en ningún país. Todo aquel país que haga la vista gorda ante el crimen cibernético debería ser sancionado por la comunidad internacional. Deberían fomentarse los esfuerzos para combatir el crimen cibernético mediante el suministro de asistencia, pero la falta de cooperación con los esfuerzos internacionales contra él debería considerarse motivo suficiente para retirar dicha asistencia en forma parcial o total.

Las solicitudes de asistencia deben incluir algunos de los compromisos contra el crimen cibernético, por ejemplo, en marzo de 2014, dos senadores estadounidenses propusieron una enmienda para asistir a Ucrania en la lucha del crimen cibernético. A pesar de que esta enmienda no se aprobó, considero que los senadores Mark R. Warner (Partido Demócrata por Virginia) y Mark Kirk (Partido Republicano por Illinois) estaban en lo correcto al buscar las negociaciones bilaterales entre los Estados Unidos y Ucrania para la cooperación contra el crimen cibernético y "el establecimiento de un grupo de trabajo permanente de categoría superior" para:

  1. Entablar un diálogo periódico sobre el crimen cibernético,
  2. Explorar oportunidades para desarrollar la capacidad de los países para combatir el crimen cibernético en cooperación de las agencias encargadas de hacer cumplir la ley, y
  3. Desarrollar procedimientos de extradición entre dichos países.

Deberíamos tratar de crear relaciones similares entre más países allí donde aún no existan. ¿Por qué? Porque el crimen cibernético está claramente vinculado a ubicaciones independientes concretas. Los perpetradores en el País A pueden atacar a sus víctimas en el País B con una impunidad relativa si el País A no cuenta con un sólido programa para combatir el crimen cibernético y a su vez no está predispuesto a cooperar con el País B para llevar a los perpetradores frente a la justicia.

2. Ajustar las prioridades nacionales

Para dar un buen ejemplo, los Estados Unidos y otros países deberían priorizar la lucha contra el crimen cibernético, en la realidad y no solo en las declaraciones públicas. Se deben destinar más recursos para identificar, capturar y procesar a los criminales cibernéticos, sin importar quiénes sean y dónde estén ubicados (solo para dejarlo en claro, muchos de ellos son estadounidenses y residen en los Estados Unidos).

Los crímenes violentos y los delitos contra la propiedad están en un mínimo histórico en los Estados Unidos y en el Reino Unido. En cambio, el abuso de la tecnología de red alcanzó el máximo nivel registrado hasta el momento. Esto debe tomarse en cuenta al asignar los recursos para hacer cumplir la ley.

Por un lado, es simplemente inaceptable que los perpetradores del ataque a Target en 2013 aún no se hayan identificado ni procesado y que todavía sigan prófugos. Por el otro lado, no está bien que los encargados de hacer cumplir la ley les digan a los estadounidenses que su experiencia con el crimen cibernético no es lo suficientemente grave como para investigarla.

Al mismo tiempo que se redoblan los esfuerzos para hacer cumplir la ley, necesitamos desalentar las "fallas técnicas" triviales al estilo de lo que ocurrió con el caso de Andrew Auernheimer y Aaron Swartz. Por suerte, la Casa Blanca parece comprender esto, ya que está hablando de modernizar la Ley de Fraude y Abuso de Computadoras "asegurando que las conductas irrelevantes no entren en el ámbito de aplicación del estatuto, a la vez que se deja en claro que puede usarse para procesar a empleados internos que abusen de sus permisos de acceso a la información y la usen para sus propios propósitos”.

Asimismo, también hay propuestas interesantes para "penalizar la venta al exterior de información financiera estadounidense robada, como números de tarjetas de crédito y cuentas bancarias." Aunque es obvio que estas actividades son ilegales, cuanto más claro se ponga por escrito en la ley, más fácil será llevar adelante un caso cuando estén involucrados otros países si sus ciudadanos llevaron a cabo dichas actividades.

Otras propuestas presidenciales que demuestran que se están tomando pasos en la dirección correcta incluyen las siguientes (en esencia estoy copiando fragmentos de los comunicados de prensa cuyos vínculos figuran más arriba):

  1. Ampliar la autoridad federal para el cumplimiento de la ley de modo que impida la venta de spyware utilizado para acosar o robar la identidad de las personas,
  2. Otorgar a la corte la autoridad de cerrar botnets encargadas de realizar ataques de denegación de servicio distribuido, entre otras actividades criminales,
  3. Actualizar la Ley para Organizaciones Corruptas y Estafadoras para que también se aplique a los crímenes cibernéticos,
  4. Clarificar las sanciones para los crímenes informáticos, y
  5. Asegurarse de que dichas sanciones guarden consonancia con otros crímenes similares no cibernéticos.
  6. Atrapar a más perpetradores más rápido

El hecho de que necesitamos capturar a más perpetradores de crímenes cibernéticos más rápido puede resultarte sumamente evidente; pero hay un motivo por el cual lo menciono de todas formas. La variedad de medidas disponibles para disuadir a los criminales incluye agravar las sentencias para los condenados, incrementar las probabilidades de ser condenado y aumentar la velocidad con la que los actos criminales son castigados. En el estudio académico del crimen, conocido como Criminología, hubo muchas investigaciones sobre cuál de estas medidas es la más efectiva en disuadir la actividad criminal.

Al entrevistarlos, muchos criminales responden que las penas severas no entran en la ecuación cuando piensan en cometer un crimen. ¿Por qué? Porque la mayoría de los criminales piensan que no los van a atrapar. En parte, puede ser consecuencia de la inmadurez de muchos de los infractores, que tienen la sensación de ser invencibles, propia de la juventud (ver Paso 4). Pero más allá de las razones, contamos con un fuerte apoyo, bien documentado, para poder hacer la siguiente afirmación:

"…hay muy poca evidencia de que el incremento en la severidad del castigo produzca un fuerte efecto disuasivo marginal… En contraste, hay evidencia sustancial de que el incremento en la certeza del castigo produce efectos disuasivos significativos" (S. N. Durlauf y D. S. Nagin, 2011).

En otras palabras, aunque puede ser bueno asegurar que los crímenes cibernéticos tengan sentencias que reflejen el gran daño que causan en las personas y la sociedad, una sentencia más severa por sí sola no hará mucho para disuadir a los criminales a menos que capturemos más cantidad de ellos con mayor rapidez. Y eso no solo requiere un mejor empleo de los recursos actuales, sino también (en mi opinión) recursos adicionales dedicados específicamente a atrapar a los criminales cibernéticos.

(Nota: la investigación criminológica sobre la disuasión normalmente está dirigida a los crímenes físicos como el robo o hurto; si conoces algún estudio donde se compare la eficacia relativa de las medidas de disuasión del crimen cibernético, avísame porque aún no pude encontrar ninguna).

4. Enseña ética cibernética

La enseñanza de la ética cibernética no es lo mismo que la concientización y la educación sobre seguridad. Aunque soy un partidario entusiasta de la concientización y la educación sobre seguridad como forma de prevenir el crimen, considero que la ética cibernética es una parte esencial en la disuasión del crimen cibernético.

Necesitamos enseñarles a los niños, desde que son muy pequeños, a evitar todas las formas de crímenes cibernéticos, desde hacer copias ilegales de software a robar nombres de usuario y contraseñas para ingresar ilícitamente en sistemas que no te pertenecen. La incorporación en la escuela primaria de la enseñanza de ética cibernética puede parecer un poco temprana, pero insisto en que tiene beneficios significativos inmediatos así como a largo plazo:

  1. Los maestros y los padres adquirirán un mejor entendimiento de las implicaciones de sus propias actividades cibernéticas. En este preciso momento, muchos niños ven a sus padres comportándose de forma poco ética en el espacio cibernético, por ejemplo, ignorando los derechos de propiedad de otros.
  2. Los niños ingresarán a la edad "de riesgo" con un mejor entendimiento de lo que es correcto y lo que es incorrecto en el espacio cibernético. Una infinidad de estudios sobre el crimen nos indican que la edad de la adolescencia es cuando las personas tienen mayor riesgo de desviar su conducta, es decir, realizar actividades ilegales; pero los niños con una guía de moral fuerte por parte de su familia y de su escuela tienen menos probabilidad de desviar su conducta y, si lo hacen, tienen muchísimas más probabilidades de abandonarla relativamente rápido.
  3. La sociedad como un todo estará más cercana a la tolerancia cero del crimen cibernético. Necesitamos dejar atrás la noción de que los ataques informáticos de criminales son inofensivos y tienen "onda". Tenemos que dejar de reírnos por lo bajo cuando escuchamos que Johnny accedió ilegalmente a la red escolar para cambiar sus notas: Johnny y sus padres deberían recibir una sanción severa, algo que no se puede hacer en forma justa si nunca nadie les explicó por qué está tan mal.

Ya hubo algunas iniciativas de este tipo, por ejemplo, mi viejo amigo Winn Schwartau recopiló una guía excelente para la enseñanza de ética informática; pero eso fue hace más de una docena de años, una llamada a la acción que quedó en el olvido por la falta (al parecer perpetua) de compromiso estadounidense para ocuparse del problema del crimen cibernético.

Con suerte, ahora habrá más personas que noten que el problema seguirá agravándose a menos que intercedamos y actuemos.

5. Mejora las oportunidades de los países en desarrollo

El viejo dicho que dice "trabaja en algo, para que el diablo te encuentre siempre ocupado" también se aplica a las habilidades para realizar ataques informáticos. Si hay más personas con dichas habilidades que trabajos para emplearlas, es más probable que dichas habilidades se usen indebidamente.

Esto quedó muy claro en la investigación de Peter Kruse sobre el clúster de phishing en Marruecos, presentado en Virus Bulletin 2013. Y también en la investigación de Brian Krebs para su libro Spam Nation, donde se demuestra que las oportunidades de empleo de programadores rusos van desde la creación de malware hasta el desarrollo de software legítimo, según una diversidad de factores.

Lo que, al parecer, a muchos legisladores les cuesta entender es que puede haber una escasez de candidatos calificados para puestos de seguridad cibernética en los Estados Unidos (L. Ablon, M. Libicki, and A. Golay, 2014), mientras que, al mismo tiempo, en los países en desarrollo, hay gente de sobra con habilidades para realizar ataques informáticos.

La razón principal es que Internet es un fenómeno único que se documenta a sí mismo. Un adolescente con un teléfono celular en cualquier país puede aprender las habilidades básicas para realizar ataques informáticos desde Internet, pero es poco probable que consiga un trabajo donde sus habilidades cibernéticas se empleen con un buen fin.

6. Mide el problema

Como ya escribí en otra parte, una de las medidas de compromiso para resolver un problema es esforzarse por medirlo. Los esfuerzos consistentes para medir en forma objetiva el problema del crimen cibernético son notables por su ausencia o ineficiencia en el mundo de habla inglesa. Yo diría que esto perjudica severamente la formulación de políticas y el establecimiento del presupuesto. Al exponer y justificar una solicitud de asignación de más recursos para la lucha contra el crimen cibernético, se requiere contar con evidencia sólida de la escala y el alcance del problema.

Lamentablemente, mientras que el Departamento de Justicia estadounidense cataloga los crímenes físicos con lujo de detalles, solo presentó un estudio del crimen cibernético en los últimos diez años: Cybercrime against Businesses, 2005. Este estudio sobre el crimen cibernético contra las empresas se describió como "el primer informe que suministró datos sobre las pérdidas monetarias y el tiempo de inactividad de los sistemas como consecuencia de los incidentes cibernéticos". Por desgracia, también fue el último.

En 2014, como respuesta a mis consultas, el Servicio Nacional de Referencias sobre la Justicia Penal indicó: "En el presente no tenemos ninguna información con respecto a la elaboración de informes adicionales sobre este tema para un futuro cercano." Cuando las personas le piden datos más recientes, la agencia los redirige al siguiente informe: US Cybercrime: Rising Risks, Reduced Readiness Key Findings from the 2014 US State of Cybercrime Survey.

Ese informe fue escrito por PricewaterhouseCoopers LLP, una sociedad de responsabilidad limitada de Delaware, y aunque una empresa con fines de lucro puede ser capaz de realizar un estudio objetivo del crimen cibernético aunque se dedique al marketing de servicios de seguridad cibernética, el hecho de basarse en estudios de ese tipo para hacer política pública está plagado de problemas. Por ejemplo, los argumentos a favor de incrementar los fondos para la disuasión del crimen cibernético pueden ser atacados si se basan en los datos provistos por empresas que son vulnerables a recibir acusaciones por exagerar los datos para estimular sus ventas.

En el pasado aparecieron varios informes sobre el crimen cibernético realizados por entidades cuasi gubernamentales, sobre todo el informe CSI/FBI, pero la vigencia de sus ediciones por 15 años finalizó en 2011. Un informe que apareció anualmente desde 2001 es el Internet Crime Report de IC3, el Centro de Quejas acerca de Crímenes en Internet, que trabaja con el FBI. Al catalogar las quejas realizadas por las víctimas, el informe de IC3 documentó el rápido incremento del fraude con un componente online (con pérdidas informadas que sumaron US$ 782 millones en 2013).

Por más útil que sea este informe, sus límites geográficos no son del todo consistentes, y ciertamente no constituye una contabilidad completa del crimen cibernético en los Estados Unidos ni en el resto del mundo. Mi mejor apuesta es que el costo global del crimen cibernético se encuentra ente los US$ 225 mil millones estimados en 2010, con salvedades importantes, por A. Anderson et al. en "Measuring the cost of cybercrime" y los US$ 400 mil millones citados en 2013 por el Centro de Estudios Estratégicos e Internacionales de McAfee como su mayor estimación del impacto económico del crimen cibernético y el espionaje cibernético.

¿Qué sigue?

Con suerte, ahora habrá una oleada de actividad en Washington D.C. y otras ciudades capitales del mundo cuando los políticos y legisladores se pongan a trabajar en estos pasos sugeridos para reducir el crimen cibernético. Mientras esperamos a que se divulgue el mensaje, el discurso del presidente Obama de esta noche quizás ofrezca más detalles sobre los planes para disuadir el crimen cibernético.

De ser así, escribiremos un comentario aquí, en We Live Security. Después quedará la pequeña cuestión de promulgar las leyes, incrementar los presupuestos y hacer a un lado las rivalidades interinstitucionales para que todos podamos empujar en una misma dirección y erradicar el crimen cibernético. (Soy consciente de que existen escenarios alternativos, pero francamente no creo poder soportarlos en este momento.)

Referencias:

Ablon, L., Libicki, M., y Golay, A. (2014) Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar, RAND Corporation, Santa Monica, California.

Durlauf, S. N. y Nagin, D. S. (2011) The Deterrent Effect of Imprisonment, Controlling Crime: Strategies and Tradeoffs, ed. P. J. Cook, J. Ludwig, y J. McCrary, 43-94, University of Chicago Press.

Koops, B. (2011) The Internet and its Opportunities for Cybercrime, Tilburg Law School Legal Studies Research Paper Series, No. 9/2011.