Incentivos desalineados

Una de las observaciones que impulsó el interés inicial en la economía de la seguridad provino
de la banca. En los Estados Unidos, los bancos son generalmente responsables por los costos
del fraude con tarjetas; Cuando un cliente disputa una transacción, el banco debe demostrar
que está tratando de hacer trampa o reembolsarle el dinero. En el Reino Unido, los bancos
tuvieron un viaje mucho más fácil: generalmente se salieron con la suya al afirmar que el
sistema de cajero automático era "seguro", por lo que un cliente que se quejó debe estar
equivocado o mentir. "Banqueros afortunados", podría pensar; Sin embargo, los bancos del
Reino Unido gastaron más en seguridad y sufrieron más fraude. ¿Cómo podría ser esto? Parece
haber sido lo que los economistas llaman un efecto de riesgo moral: el personal del banco del
Reino Unido sabía que las quejas de los clientes no se tomarían en serio, por lo que se
volvieron perezosos y descuidados. Esta situación condujo a una avalancha de fraude [1].

En 2000, Varian hizo otra observación clave: sobre el mercado de software antivirus. La gente
no gastó tanto en proteger sus computadoras como podría haberlo hecho. Por qué no? Bueno,
en ese momento, una carga de virus típica era un ataque de denegación de servicio contra el
sitio web de una compañía como Microsoft. Si bien un consumidor racional bien podría gastar
$ 20 para evitar que un virus destruya su disco duro, podría no hacerlo solo para evitar un
ataque contra otra persona [2].

Los teóricos legales saben desde hace tiempo que la responsabilidad debe asignarse a la parte
que mejor puede gestionar el riesgo. Sin embargo, dondequiera que miremos, vemos que los
riesgos en línea están mal asignados, lo que resulta en fallas de privacidad y disputas
regulatorias prolongadas. Por ejemplo, los sistemas de TI médicos son comprados por
directores de hospitales y compañías de seguros, cuyos intereses en la administración de
cuentas, control de costos e investigación no están bien alineados con los intereses de los
pacientes en la privacidad.

Los incentivos también pueden influir en las estrategias de ataque y defensa. En teoría
económica, surge un problema de acción oculta cuando dos partes desean realizar una
transacción, pero una parte puede tomar acciones inobservables que impactan la transacción.
El ejemplo clásico proviene del seguro, donde la parte asegurada puede comportarse de
manera imprudente (lo que aumenta la probabilidad de un reclamo) porque la compañía de
seguros no puede observar su comportamiento.

Moore señaló que podemos usar tales conceptos económicos para clasificar los problemas de
seguridad informática [3]. Los enrutadores pueden descartar silenciosamente los paquetes
seleccionados o falsificar las respuestas a las solicitudes de enrutamiento; los nodos pueden
redirigir el tráfico de red para espiar conversaciones; y los jugadores en los sistemas de
intercambio de archivos pueden ocultar si han optado por compartir con otros, por lo que
algunos pueden "viajar libremente" en lugar de ayudar a mantener el sistema. En tales ataques
de acción oculta, algunos nodos pueden ocultar el comportamiento malicioso o antisocial de
otros. Una vez que se ve el problema desde esta perspectiva, los diseñadores pueden
estructurar

interacciones para minimizar la capacidad de acción oculta o para facilitar el cumplimiento de

contratos adecuados.

Esto ayuda a explicar la evolución de los sistemas entre pares en los últimos diez años. Los
primeros sistemas, como Eternity, Freenet, Chord, Pastry y OceanStore, proporcionaron un
"bote único", con una funcionalidad ampliamente distribuida al azar. Los sistemas posteriores
y más exitosos, como el popular Gnutella y Kazaa, permiten que los nodos pares sirvan
contenido que han descargado para su uso personal, sin cargarlos con archivos aleatorios. La
comparación entre estas arquitecturas originalmente se centró en aspectos puramente
técnicos: el costo de búsqueda, recuperación, comunicaciones y almacenamiento. Sin
embargo, resulta que los incentivos también importan aquí.

Primero, un sistema estructurado como una asociación de clubes reduce el potencial de acción
oculta; Es más probable que los miembros del club puedan evaluar correctamente qué
miembros están contribuyendo. En segundo lugar, los clubes pueden tener intereses bastante
divergentes. Los primeros sistemas de igual a igual se orientaron hacia la resistencia a la
censura en lugar de compartir archivos de música, y cuando pusieron todo el contenido en una
olla, grupos muy diferentes terminaron protegiendo la libertad de expresión de los demás, tal
vez disidentes chinos, críticos de Scientology o aficionados de imágenes sado-masoquistas
legales en California pero prohibidas en Tennessee. La pregunta entonces es si tales grupos
podrían no luchar más para defender a su propia especie, en lugar de las personas
involucradas en luchas en las que no tenían ningún interés y dónde podrían estar dispuestos a
ponerse del lado del censor.

Danezis y Anderson introdujeron el modelo Rojo-Azul para analizar esto [4]. Cada nodo tiene
una preferencia entre los tipos de recursos, mientras que un censor que ataca la red intentará
imponer sus propias preferencias. Su acción contará con la aprobación de algunos nodos pero
no de otros. El modelo procede como un juego de varias rondas en el que los nodos establecen
presupuestos de defensa que afectan la probabilidad de que derroten al censor o sean
abrumados por él. Bajo suposiciones razonables, los autores muestran que la diversidad (con
cada nodo que almacena su combinación de recursos preferida) funciona mejor bajo ataque
que la solidaridad (donde cada nodo almacena la misma combinación de recursos, que
generalmente no es su preferencia). La diversidad aumenta la utilidad del nodo que a su vez
hace que el nodo

LA SEGURIDAD COMO EXTERNALIDAD

Las industrias de la información se caracterizan por muchos tipos diferentes de externalidades,
donde las acciones individuales tienen efectos colaterales en los demás. La industria del
software tiende a las empresas dominantes gracias a los beneficios de la interoperabilidad. Los
economistas llaman a esto una externalidad de red: una red, o una comunidad de usuarios de
software, es más valiosa para sus miembros cuanto más grande sea. Esto no solo ayuda a
explicar el auge y el dominio de los sistemas operativos, desde System / 360 a través de
Windows hasta Symbian, y de plataformas de música como iTunes; También ayuda a explicar
el patrón típico de fallas de seguridad. En pocas palabras, mientras un vendedor de
plataformas está construyendo el dominio del mercado, tiene que atraer a los vendedores de
productos complementarios, así como a sus clientes directos; Esto no solo desvía la energía
que podría gastarse en asegurar la plataforma, sino que la seguridad podría interferir al
dificultar la vida de los complementadores. Por lo tanto, los proveedores de plataformas
generalmente ignoran la seguridad al principio, ya que están construyendo su posición en el
mercado; más tarde, una vez que han capturado un mercado lucrativo, agregan seguridad
excesiva para encerrar a sus clientes [7].

Se puede encontrar otra instancia de externalidades cuando analizamos la inversión en

seguridad, ya que la protección a menudo depende de los esfuerzos de muchos directores. Los
presupuestos generalmente dependen de la manera en que la inversión individual se traduce
en resultados, pero esto a su vez depende no solo de las propias decisiones del inversor, sino
también de las decisiones de los demás. La confiabilidad del sistema puede depender de la
suma de los esfuerzos individuales, el esfuerzo mínimo que alguien haga o el esfuerzo máximo
que haga. La corrección del programa puede depender del eslabón más débil (el programador
más descuidado que introduce una vulnerabilidad) mientras que la validación del software y
las pruebas de vulnerabilidad pueden depender de la suma de los esfuerzos de todos. También
puede haber casos en los que la seguridad depende del mejor esfuerzo: el esfuerzo de un
campeón individual. Un modelo simple de Varian proporciona resultados interesantes cuando
los jugadores eligen sus niveles de esfuerzo de forma independiente [8]. Para el caso de
esfuerzo total, la confiabilidad del sistema depende del agente con la relación costo-beneficio
más alta y de todos los demás agentes que viajan libremente. En el caso del eslabón más débil,
domina el agente con la relación costo-beneficio más baja. A medida que se agregan más
agentes, los sistemas se vuelven cada vez más confiables en el caso del esfuerzo total, pero
cada vez menos confiables en el caso del enlace más débil. ¿Cuáles son las implicaciones? Una
es que las compañías de software deberían contratar más probadores de software y menos
programadores (pero más competentes).

Un trabajo como este ha inspirado a otros investigadores a considerar el riesgo

interdependiente. Un modelo influyente reciente de Kunreuther y Heal señala que las
inversiones en seguridad pueden ser complementos estratégicos: un individuo que toma
medidas de protección crea externalidades positivas para otros que a su vez pueden
desalentar su propia inversión [9]. Este resultado tiene implicaciones mucho más allá de la
seguridad de la información. La decisión del propietario de un departamento de instalar un
sistema de rociadores que minimice el riesgo de daños por incendio afectará las decisiones de
sus vecinos; las aerolíneas pueden decidir no controlar el equipaje transferido de otras
aerolíneas que se cree que son cuidadosas con la seguridad; y las personas que piensan
vacunar a sus hijos contra una enfermedad contagiosa pueden optar por dejar la inmunidad
colectiva. En cada caso, son posibles varios resultados de equilibrio de Nash ampliamente
variables, desde la adopción completa hasta el rechazo total, dependiendo de los niveles de
coordinación entre los directores.

Katz y Shapiro notaron cómo las externalidades de la red afectaron la adopción de la

tecnología [10]. Los efectos de red también pueden influir en el despliegue de la tecnología de
seguridad. El beneficio que proporciona una tecnología de protección puede depender de la
cantidad de usuarios que la adopten. El costo puede ser mayor que el beneficio hasta que un
número mínimo de jugadores adopte; por lo que cada tomador de decisiones puede esperar a
que otros vayan primero, y la tecnología nunca se implementa. Recientemente, Ozment y
Schechter han analizado diferentes enfoques para superar los problemas de arranque que
enfrentan aquellos que implementarían tecnologías de seguridad [11].

Este desafío es particularmente tópico. Varios protocolos básicos de Internet, como DNS y
enrutamiento, se consideran inseguros. Existen protocolos más seguros; El desafío es lograr
que sean adoptados. Dos protocolos de seguridad que ya se han implementado ampliamente,
SSH e IPsec, superaron el problema de arranque al proporcionar importantes beneficios
intraorganizacionales. En los casos exitosos, la adopción podría hacerse una organización a la
vez, en lugar de necesitar que la mayoría de las organizaciones se muevan a la vez. El
despliegue de máquinas de fax también se produjo a través de este mecanismo: las empresas
inicialmente compraron máquinas de fax para conectar sus propias oficinas.

Economía de vulnerabilidades.

Se ha producido un debate vigoroso entre los proveedores de software y los investigadores de

seguridad sobre si la búsqueda y divulgación de vulnerabilidades es socialmente deseable.
Resorla ha argumentado que para el software con muchas vulnerabilidades latentes (como
Windows), eliminar un error individual hace poca diferencia en la probabilidad de que un
atacante encuentre otro más tarde [12]. Dado que los exploits a menudo se basan en
vulnerabilidades inferidas de parches o avisos de seguridad, argumentó en contra de la
divulgación y los parches frecuentes si las vulnerabilidades están correlacionadas.

Ozment investigó las vulnerabilidades identificadas para FreeBSD; descubrió que muchas
vulnerabilidades es probable que sean redescubiertas y, por lo tanto, a menudo están
correlacionadas [13]. Arora, Telang y Xu produjeron un modelo donde la divulgación es
necesaria para incentivar a los proveedores a corregir errores en lanzamientos de productos
posteriores [14]. Arora, Krishnan, Nandkumar, Telang y Yang presentan análisis cuantitativos
para complementar el modelo anterior, que encontró que para la divulgación pública, los
proveedores responden más rápidamente en comparación con la divulgación privada, el
número de ataques aumenta pero el número de vulnerabilidades reportadas disminuye con el
tiempo [15 ]

Esta discusión plantea una pregunta más fundamental: ¿por qué existen tantas
vulnerabilidades en primer lugar? Seguramente, si las compañías desean productos seguros,
¿entonces el software seguro dominará el mercado? Como sabemos por experiencia, este no
es el caso: la mayoría del software comercial contiene fallas de diseño e implementación que
podrían haberse evitado fácilmente. Aunque los proveedores son capaces de crear software
más seguro, la economía de la industria del software les brinda pocos incentivos para hacerlo
[7]. En muchos mercados, la actitud de "enviarlo el martes y acertar con la versión 3" es un
comportamiento perfectamente racional. Los consumidores generalmente recompensan a los
proveedores por agregar funciones, por ser los primeros en el mercado o por ser dominantes
en un mercado existente, y especialmente en los mercados de plataformas con externalidades
de red. Estas motivaciones chocan con la tarea de escribir software más seguro, que requiere
pruebas que requieren mucho tiempo y un enfoque en la simplicidad.

Anderson explica fácilmente otro aspecto de la falta de motivación de los vendedores: el

mercado de software es un "mercado de limones". En un trabajo ganador del premio Nobel, el
economista George Akerlof empleó el mercado de automóviles usados como una metáfora de
un mercado con información asimétrica [16]. Su artículo imagina una ciudad en la que se
venden 50 buenos autos usados (con un valor de $ 2000), junto con 50 "limones" (con un valor
de $ 1000) cada uno). Los vendedores saben la diferencia pero los compradores no. ¿Cuál será
el precio de compensación del mercado? Inicialmente, uno podría pensar en $ 1500, pero a
ese precio nadie con un buen auto lo ofrecerá a la venta; por lo que el precio de mercado
terminará rápidamente cerca de $ 1000. Debido a que los compradores no están dispuestos a
pagar una prima por la calidad que no pueden medir, solo los vehículos usados de baja calidad
están disponibles para la venta.

El mercado de software sufre de la misma asimetría de información. Los vendedores pueden

hacer reclamos sobre la seguridad de sus productos, pero los compradores no tienen motivos
para confiar en ellos. En muchos casos, incluso el proveedor no sabe qué tan seguro es su
software. Por lo tanto, los compradores no tienen motivos para pagar más por un software
más seguro, y los vendedores no están dispuestos a invertir en protección. ¿Cómo se puede
abordar esto?

Existen dos enfoques en desarrollo para obtener medidas precisas de seguridad de software:

Mercados de vulnerabilidad y seguros.

Los mercados de vulnerabilidad ayudan a los compradores y vendedores a establecer el costo

real de encontrar una vulnerabilidad en el software, que es un proxy razonable para la
seguridad del software. Para empezar, algunas normas especifican un costo mínimo de varios
tipos de compromiso técnico; Un ejemplo son los estándares bancarios para terminales de
entrada de PIN [17]. Luego Schechter propuso mercados abiertos para informes de
vulnerabilidades previamente no descubiertas [18]. Dos organizaciones ahora están
comprando vulnerabilidades abiertamente, por lo que en realidad existe un mercado
(desafortunadamente, los precios no están publicados). Su modelo de negocio es proporcionar
datos de vulnerabilidad simultáneamente a sus clientes y al proveedor del producto afectado,
para que sus clientes puedan actualizar sus firewalls antes que nadie. Kannan y Telang
analizaron la utilidad social de esto y descubrieron que era subóptimo [20]: las organizaciones
del mercado de errores pueden tener un incentivo para filtrar información de vulnerabilidad
sin las garantías adecuadas.

Bohme¨ ha argumentado que los derivados de software son una herramienta mejor que los
mercados para la medición de la seguridad del software [21]. Aquí, los profesionales de
seguridad pueden alcanzar un consenso de precios sobre el nivel de seguridad de un producto.
Los contratos de software podrían emitirse en pares: el primero paga un valor fijo si no se
encuentra una vulnerabilidad en un programa en una fecha específica, y el segundo paga otro
valor si se encuentran vulnerabilidades. Si estos contratos pueden negociarse, su precio
reflejará el consenso sobre el programa. Proveedores de software, inversionistas de compañías
de software y seguros.