sábado, junio 07, 2008

Economía de la seguridad informática y el "malware"

Un excelente artículo de J.G. van Eeten y Johannes Bauer, publicado por la OCDE hace escasamente una semana, estudia la economía de aquellos aspectos de la seguridad informática relacionados con el "malware".

El artículo comienza con un armazón teórico muy sólido, en el que gráficas comprensibles (no quiero decir sencillas porque sí requieren cierta concentración) permiten entender los efectos económicos de acciones como elevar las inversiones en seguridad, abaratar la creación de malware o encarecer la actividad maliciosa, etc. y sus interacciones.

Después, van Eeten y Bauer se adentran en las implicaciones de este marco teórico y analizan la interacción entre seguridad y agentes maliciosos en términos de externalidades económicas así como de interacciones en las que no hay estas externalidades (son las menos). Las externalidades se refieren a temas como los costos en que incurre toda la sociedad cuando algunos usuarios no protegen sus computadoras contra el "malware" que no los afecta a ellos pero sí a terceros (como el de distribución de "phishing").

Una de las ideas que dejan muy claras - parece una obviedad pero no está tan extendida como debiera - es que los actores racionales de los mercados no aspiran a una "seguridad absoluta" sino que sólo gastan en seguridad tanto como sea necesario para acotar los costos asociados a la inseguridad. Sabemos que los bancos, por ejemplo, aceptan un número limitado de incidentes, mientras el costo de responder a éstos no sea superior al de prevenirlos. Inteligentemente, van Eeten y Bauer consideran, por supuesto, que hay actores irracionales, y acciones en que no todos los actores interactúan de manera óptima.

En este marco les resulta fácil plantear problemas como el impacto de que los bancos decidan compensar, o no, las pérdidas de sus usuarios debido al "phishing" o que, como ocurre en Nueva Zelanda, presionen para producir cambios legislativos que transfieren explícitamente mayor responsabilidad a los usuarios en evitar el "phishing".

Dejan sin tratar algunos temas interesantes, como la economía de la comisión de los delitos y conductas perniciosas, por ser muy imprecisos los datos al respecto (ya lo son los que sí utilizan sobre el impacto de los daños económicos contabilizables), o el impacto que podrían tener medidas, como las que proponen Bruce Schneier y otros, que impongan un costo a la responsabilidad de las compañías que produzcan software cuyas vulnerabilidades produzcan el espacio en que se mueve el delito cibernético.

Sin embargo, estas ausencias - más que deficiencias, temas pendientes - son un estímulo y no un obstáculo. Un estudio cuidadoso del artículo puede ser un magnífico insumo para plantear políticas públicas realistas que traten a la seguridad como un tema principalísimo de la Agenda Digital. Altamente recomendable; una estupenda referencia para elevar el nivel de discusión.

Ejercicio para el lector: visite el sitio de "malware" de UNAM-CERT y analice las externalidades e interacciones entre los actores en el caso de que un proveedor de infraestructura con 10 millones de clientes deje subsistir en ésta una vulnerabilidad, soluble por el fabricante de equipo de esa infraestructura, que permite que el acceso de los clientes a sus bancos sea redirigido a sitios de "phishing" por medio de una manipulación del DNS inobservable para los clientes. ¡Un verdadero día de campo para van Eeten y Bauer!

Conexiones que no debían existir - en el software de una planta nuclear

Una nota en el Washington Post relata un incidente informático que llevó a parar las operaciones de una planta nuclear de electricidad (confieso: si pongo planta nucleoeléctrica pega menos en los buscadores).

El incidente no se debió a un ataque de negación de servicio u otro ataque cibernético malintencionado, ni a una falla de diseño del equipo y sistemas de control de la planta, que es lo que usualmente busca el lector ávido no de escándalo pero sí de la nota de color. Se debió a una actualización de software en una computadora que está del lado de la administración e, insospechadamente, resultó también conectada con los sistemas de control de la planta. Al reinciar ("rebootear") la computadora, muchas tablas de datos se inicializaron a cero y dieron lugar a la respuesta correcta del sistema de control, que creo poder resumir en la frase "en la duda, apágale".

El incidente ilustra las conexiones cada vez más complejas - pienso que inevitables - entre los sistemas críticos y las actividades a las que se percibe menos riesgo en todas las organizaciones. Un buen artículo en las publicaciones del consorcio Cutter extiende el análisis al uso de las "redes sociales" (como Facebook) en el lugar de trabajo, bajo la pregunta "To ban or not to ban" ("Prohibir o no prohibir").

Creo que la opción de prohibir estará siendo negada progresivamente, como lo fueron en sus momentos las llamadas telefónicas personales desde el trabajo, la atención al correo electrónico personal, y tantas otras. Ante una causa perdida como ésta, la administración de riesgos en los sistemas críticos será una tarea cada vez más cuesta arriba.

Ley de delito informático en Argentina

Argentina está emitiendo una nueva ley contra los delitos informáticos. La nota de prensa, y los avisos al respecto de la comunidad Alfa-Redi, atraen la atención sobre algunos puntos interesantes:

1. el trabajo para construir la iniciativa de ley comenzó hace unos dos años, cuando algunos periodistas reaccionaron contra el espionaje de que fueron víctimas sus correos electrónicos; por ello, la ley - o las noticias al respecto - hacen énfasis en la protección de la privacidad de las comunicaciones;

2. la nota de referencia hace énfasis también en el combate a la pornografía infantil y delitos relacionados. Una idea interesante es que, conforme se cierran los espacios para estos delitos en otros países (véase por ejemplo Australia, donde "la de 8" es la captura de decenas de presuntos miembros de una red de pornografía infantil que incluye a maestros, o Inglaterra), se trasladarán a América Latina. Esta idea requiere algo de detalle; el delito no se traslada así como así. Lo que se verá será el uso de infraestructura por parte de delincuentes de otras regiones, la complicidad de ellos con delincuentes en nuestra región, y el uso por éstos del nicho y estímulos que se espera emerjan al limitarse a los delincuentes de otras latitudes.

3. toda ley que defina delitos informáticos debe ser inspeccionada por los informáticos desde un punto de vista crítico para la profesión: el que conductas "normales", frecuentes en el trabajo, no sean interpretadas como delitos. Esto sucedía con la ley de delitos informáticos en México hace algunos años: era fácil tipificar como delictivas las remociones de archivos, alteraciones en el funcionamiento de los sistemas, etc., que son parte inevitable del trabajo de desarrollo e implantación de sistemas. Así que amigos informáticos y abogados, a leer, a leer, con lupa.

Quienes me conocen o han escuchado saben que no creo que hacer nuevas leyes sea lo primero ni la principal tarea para combatir el "delito cibernético" pero esta iniciativa en Argentina es de innegable interés. Entretanto, en México, creo que no debemos dejar de impulsar iniciativas como la que construimos con Juan Carlos Guel, Alfredo Reyes Krafft, Kiyoshi Tsuru, y otros distinguidos colegas, y que Alfredo acaba de presentar más ampliamente; se trata del grupo e-Crime (recurro a una nota de prensa venezolana porque explica las medidas no legislativas que urge impulsar).

domingo, junio 01, 2008

Paliza en rankings a las universidades de Irlanda - ejemplo de mal periodismo

Un artículo reciente en el Independent de Irlanda le pega lo que el autor cree que es una paliza a las universidades públicas irlandesas. En realidad sólo exhibe su escasez de criterio e información y sus prejuicios. Mezcla distintos rankings (sin entender el objetivo de Webometrics ni sus diferencias con otros) y se permite el lujo de molestarse por que una de sus universidades, Trinity College de Dublín, aparezca en el lugar 53 del ranking del THE (antes "ranking del Times"). Vale la pena aguantar el enojo de leerlo para entender la mecánica del prejuicio. Andrés Oppenheimer sostenía puntos de vista parecidos. No sabemos si después de una amplia discusión televisada, en la que participé, haya cambiado; pero ciertamente hasta los invitados a los que trató de movilizar a favor de su punto de vista terminaron minándolo profundamente.

Sin duda 2008 será un año de discusiones interesantes acerca de los rankings de universidades.