Cyber Insecurity Navigating The Perils of The Next Information Age (Pp. 89-104) .En - Es

Traducido del inglés al español - www.onlinedoctranslator.
com
Capítulo 6
Comprender el delito cibernético

Sasha Romanosky y Trey Herr
El delito cibernético cubre una amplia gama de actividades que incluyen robo, fraude y acoso;
robar propiedad intelectual valiosa como parte del espionaje industrial; cometer fraude financiero
y robo de tarjetas de crédito; e interrumpir los servicios de Internet por objetivos ideológicos
("hacktivismo"). Los delitos tienen como objetivo tanto a las empresas como a los consumidores, y
aunque rara vez resultan en daños físicos o daños a la propiedad, aún pueden tener consecuencias
graves.1Por ejemplo, muchas violaciones de datos son causadas por delincuentes que piratean
corporaciones privadas y agencias gubernamentales para robar información personal. Los datos
comprometidos pueden incluir nombres de personas, direcciones, números de seguro social,
fechas de nacimiento, licencias de conducir, números de pasaporte, números de tarjetas de crédito
y otros datos financieros. Luego, la información se puede usar para cometer delitos, incluido el
fraude de desempleo, el fraude fiscal, el fraude de préstamos y el fraude con tarjetas de pago.2Los
daños individuales derivados de estas infracciones incluyen pérdidas financieras directas, la carga
del aumento de las tasas de interés de los préstamos, la denegación de servicios públicos,
demandas civiles o incluso investigaciones penales.3Los costos resultantes en los que incurren las
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
empresas pueden incluir investigaciones forenses, reparación del consumidor, tarifas de

divulgación y litigios, y las sumas pueden llegar a más de $200 millones.4
En general, el capítulo enmarca este complicado tema como una discusión de dos
mercados: uno de seguridad de la información, ocupado por víctimas (por ejemplo,
empresas y consumidores), y otro de amenazas, donde los compradores y vendedores de
software malicioso e información robada intercambian sus productos.5Las soluciones de
políticas que intentan reducir los daños a las víctimas y el delito cibernético abordan más
que solo la seguridad de dispositivos o redes, buscan influir en los incentivos y
comportamientos de los actores ilícitos y las víctimas a través del derecho penal, civil y
administrativo. La pregunta motivadora es: ¿cómo pueden las intervenciones del gobierno
afectar los incentivos de los actores en cada uno de estos mercados para reducir las
pérdidas y lograr una inversión más eficiente en seguridad?
89
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
90 Sasha Romanosky y Trey Herr
EL MERCADO DE LAS AMENAZAS
¿Qué impulsa el delito cibernético? La mayoría de los delitos basados o respaldados por
computadoras tienen una motivación financiera y, por lo tanto, son el resultado de un análisis
racional de costo-beneficio por parte de los atacantes.6Tanto el costo de adquirir e implementar
malware como la postura de seguridad de las empresas potenciales pueden influir en la selección
de objetivos por parte de los grupos criminales. Por lo tanto, los ciberataques exitosos pueden
considerarse el resultado de una inversión inadecuada en seguridad. Los atacantes constituyen un
mercado de “amenazas”, contrapesado con el mercado de seguridad de una víctima. En estos
mercados existen dos bienes principales: software malicioso y datos robados.
Bienes
El software malicioso utilizado por los delincuentes para obtener acceso a los sistemas de
información de la víctima se compone de tres partes, cada una de las cuales se puede desarrollar,
comprar y vender de forma independiente: un método de propagación, exploits y una carga útil.7
Estos diferentes componentes se intercambian utilizando varios tipos de transacciones, en algunos
casos alquilados, mientras que en otros casos se venden directamente.8Uno de los medios más
populares para distribuir malware es a través de correos electrónicos de phishing: correos
electrónicos falsos que parecen ser de un remitente legítimo y se distribuyen a una amplia
audiencia. Estos correos electrónicos de phishing pueden ser propagados por grandes colecciones
de computadoras zombie llamadas botnets (consulte la descripción de Botnet en la figura 6.1). Las
botnets generalmente se alquilan en lugar de venderse, y una persona mantiene las máquinas en
cada “rebaño” de computadoras o grupo pequeño que continuamente infecta nuevas máquinas
para compensar las computadoras perdidas o expandir su rebaño.9
Los datos robados vienen en una variedad aún mayor de formas; por ejemplo, los números de
tarjetas de crédito se roban, agrupan y venden a través de una combinación en constante
evolución de mercados clandestinos ilegales.10Además, los ladrones pueden usar el botín ellos
mismos, mientras que en otros casos los datos robados se venden a investigadores de seguridad
oa corporaciones como bancos que buscan detectar cuentas fraudulentas.11
Estos mercados de malware y datos robados cuentan con el respaldo de varios tipos de actores, que se
describen a continuación.
Actores
Las organizaciones criminales varían en tamaño, propósito y sofisticación. Algunos se

centran exclusivamente en el espionaje y han desarrollado los medios para distribuir el
trabajo internamente, con diferentes equipos asignados para investigar e identificar futuros
objetivos potenciales, pasar su trabajo a otros para el desarrollo de código malicioso y aún
más equipos para empaquetarlo e implementarlo. .12Otros grupos, organizados a lo largo
de las redes sociales existentes de delincuentes fuera de línea
Comprender el delito cibernético 91
Figura 6.1 Diagrama de red de bots
organizaciones, persiguen una amplia gama de actividades delictivas, utilizando la información

obtenida para llevar a cabo el robo de identidad tradicional, la extorsión y el fraude financiero.13
Algunos grupos conservan una sola función. Por ejemplo, el proceso de "carding" (usar
información de tarjetas de crédito robadas para reproducir tarjetas y retirar fondos antes de
que se congelen las tarjetas o sus cuentas) se ha convertido en una actividad especializada
en algunos círculos. Un pequeño número de "carders" más informados encargados de robar
o asegurar la información de la tarjeta de crédito luego la distribuyen a un gran número de

mulas de dinero (de lo contrario, personas de bajo nivel sin conocimiento repartidas en
regiones y países), quienes luego retiran fondos de los cajeros automáticos.14El objetivo de
los grupos de carders es usar las credenciales compradas para extraer la mayor cantidad de
efectivo posible de estas cuentas, lo más rápido posible, antes de que los bancos comiencen
a interrumpir el proceso. Varios de los grupos más grandes dedicados a robar fondos de
cuentas bancarias robadas con información de tarjetas de crédito replicadas están
integrados verticalmente y son responsables de cada paso del proceso de fraude, desde el
robo hasta el retiro.15
El mercado de las amenazas supone en gran medida grupos motivados financieramente
y no considera actores motivados estratégicamente que persiguen objetivos políticos o
militares sin tener en cuenta el beneficio financiero. Estas actividades, que pueden implicar
el intento de lograr efectos digitales o cinéticos destructivos, caen más
de cerca bajo el tema de operaciones cibernéticas militares en lugar de delitos cibernéticos.

Sin embargo, para los actores motivados financieramente, existen mecanismos de mercado
establecidos, un medio para determinar los compradores y vendedores disponibles, fijar el
precio de los bienes y establecer la reputación y algunos medios de transacción entre los
actores.dieciséis
Dinámica del mercado
Al igual que el mercado de un automóvil usado o un horno tostador nuevo, el mercado de

amenazas cibernéticas comparte varias características subyacentes: confianza, reputación, precio y
competencia. Sin embargo, a diferencia de los autos y las tostadoras, la compra y venta de
software malicioso y datos robados se lleva a cabo bajo un velo necesario de secreto.
Dado que existen pocos medios externos para obligar a los compradores a realizar el
pago o a los vendedores a proporcionar sus productos en caso de una transacción
fraudulenta, la reputación juega un papel fundamental. Algunos mercados adoptan un
proceso de revisión muy parecido al de Amazon, donde otros clientes pueden comentar su
experiencia con diferentes componentes de malware. Al escribir sobre la compra de
freejoiner, una carga maliciosa que puede robar datos personales, por ejemplo, uno de esos
clientes comentó: "Compré un freejoiner 2 y me fui muy feliz", mientras que otro escribió:
"Gracias por un FreeJoiner, es el mejor programa en su clase que he visto nunca.17Algunos
sitios web clandestinos pueden complementar estas reseñas de usuarios con moderadores
del sitio que verifican productos y transacciones para rastrear vendedores de alta calidad y
eliminar a los estafadores. La satisfacción del cliente importa; los vendedores de
información de tarjetas de crédito pueden ofrecer bonificaciones si los usuarios compran
ciertas cantidades u ofrecen obsequios para compensar las cuentas ya desactivadas.18
Otra dinámica a considerar es el precio de los bienes dentro de este mercado. El costo de las
credenciales de la cuenta de correo electrónico, por ejemplo, ha fluctuado en la última década,
oscilando entre $4 y $30 en 2007 y cayendo de $0,50 a $10 en 2015.19Esta caída en los precios
puede indicar un exceso de oferta, un excedente de cuentas disponibles o una menor demanda de
correo electrónico como medio para desarrollar y sostener ataques. Los precios de las funciones
personalizadas y las revisiones se añaden a la compra inicial por parte de los vendedores que
esperan repetir el negocio o que venden una herramienta a los usuarios como parte de un
servicio. La carga útil maliciosa "Pinch" ofrece a los usuarios un medio para robar datos de
sistemas objetivo en una variedad de configuraciones. Aunque en un momento el código fuente de
Pinch se publicó en línea, la herramienta continuó actualizándose y vendiéndose regularmente por
hasta $ 30 por usuario.20
La competencia también juega un papel en el mercado de las amenazas. Cuando los
compradores pueden seleccionar entre diferentes vendedores, entran en juego los mecanismos
competitivos tradicionales que reducen el precio y aumentan la calidad, especialmente para los
componentes de software malicioso. Un ejemplo es la evolución de SpyEye, un rival del popular
malware ZeuS que se ha utilizado principalmente para apuntar a los sistemas bancarios en busca
de credenciales de usuario, pero ahora incluye una serie de otras funciones.21Temprano
Las versiones de ZeuS eran relativamente simples, pero la aparición de SpyEye a un precio
más bajo en los mismos foros para dirigirse a los mismos clientes dio lugar a una carrera
armamentista entre las dos cargas, y los desarrolladores se apresuraron a agregar más
funciones a cada una en un esfuerzo por atraer y mantener clientes.22En 2010, poco más de
un año después del surgimiento de SpyEye, los dos se fusionaron y ZeuS se incorporó a la
marca de su rival.23
INFLUENCIAR EL MERCADO
A menudo hay dos oportunidades para las intervenciones de política:ex ante, o antes del
evento, yex post, después del evento.ex anteLas oportunidades para dar forma al mercado
de amenazas se basan principalmente en alterar la dinámica del mercado explicada
anteriormente. Si bien el precio objetivo parece un primer paso obvio, hay múltiples
subproductos a considerar. Intentar aumentar el precio de los componentes de software
malicioso puede hacer que sea menos atractivo para los atacantes poco calificados adquirir
capacidades y podría reducir la demanda general, pero dicho aumento también puede
incentivar a los nuevos vendedores a unirse al mercado, aumentando así la variedad o la
sofisticación de lo que está disponible. Para la información robada, existen igualmente
múltiples efectos de cualquier acción; intentar aumentar el precio de la información robada
puede reducir la cantidad de personas dispuestas a realizar compras, pero podría aumentar
el valor percibido de dicha información, incentivando intentos más elaborados para robar
nuevas credenciales y datos de tarjetas.
Un enfoque alternativo puede ser atacar los mecanismos de reputación, interrumpiendo las
tenues cadenas de confianza que vinculan a compradores y vendedores de software malicioso e
información robada. Por ejemplo, los agentes encargados de hacer cumplir la ley a veces se hacen
pasar por vendedores y falsifican reseñas, pero también pueden establecer mercados alternativos
en un esfuerzo por llevar a los usuarios a un número cada vez menor de plataformas controladas.
24Sembrar desconfianza mediante la difusión de tarjetas de crédito obsoletas o inútiles o
información de identificación personal también podría ayudar a interrumpir estos mercados

delictivos, ya que los compradores se enfrentan a un entorno cada vez más incierto en el que
gastar recursos limitados.
Operar en un mercado es difícil, especialmente cuando se lleva a cabo en un contexto más
clandestino con pocos mecanismos para hacer cumplir las transacciones o garantizar los
contratos. La asimetría de información tradicional entre el vendedor que posee un bien y el
comprador que busca obtenerlo se vuelve mucho más onerosa ya que el mercado de las amenazas
cibernéticas es fundamentalmente una guarida de ladrones. Con mecanismos para establecer la
reputación y la confianza en los compradores como agentes dispuestos y los vendedores como
proveedores de los bienes que anuncian ya frágiles, las actividades de aplicación de la ley para
interrumpir estos procesos pueden producir efectos descomunales.
Ex postlas opciones son más comunes pero algo más restrictivas, y se centran en
medidas penales punitivas para compradores y vendedores, así como para intermediarios
como operadores de foros que proporcionan un mercado para estas interacciones. Una alternativa
convencional a atacar directamente el mercado en busca de amenazas es aplicar sanciones a las
actividades que se llevan a cabo y tratar de enjuiciar a los compradores y vendedores.
El principal vehículo legal para la aplicación de la ley delictiva cibernética de EE. UU. es el
Ley de Abuso y Fraude Informático(CFAA), promulgada originalmente en 1986 y modificada
varias veces desde entonces.25La CFAA tipifica conductas en dos categorías generales:
acceso a sistemas informáticos y actividades en ellos. Las nueve violaciones principales
incluyen “exceder el acceso autorizado” a un sistema informático, invadir una computadora
del gobierno y causar daños mediante el acceso intencional, ya sea de manera imprudente
o negligente.26Hay limitaciones a la ley, sin embargo. Esto incluye un debate continuo
dentro de los tribunales sobre la definición de acceso "autorizado" donde hay al menos tres
definiciones en competencia: (a) comportamiento tomado para eludir las medidas de
seguridad existentes y claramente evidentes,
(b) cualquier actividad, incluida la realizada por usuarios autorizados, que exceda el alcance
autorizado de las operaciones en ese sistema informático, y (c) acciones tomadas para
obtener acceso a la información en exceso de aquella para la cual se concedió originalmente
el uso del sistema informático. .27
EL MERCADO DE LA SEGURIDAD
Hay muchas formas de intervención gubernamental que se pueden adoptar para

inducir a las empresas (y a las personas) a invertir en un nivel adecuado de seguridad
de la información y optimizar (pero no necesariamente eliminar) los daños causados
por los tipos de actividades delictivas descritas anteriormente.
Ex ante versus ex post

Como se mencionó, dos intervenciones familiares sonex anteregulación de seguridad

(normas obligatorias), yex postresponsabilidad.28ex antela regulación se considera un
mecanismo de prevención de mano dura que impone un estándar mínimo de atención para
prevenir o reducir el daño (p. ej., códigos contra incendios que definen el grosor de las
paredes y los materiales utilizados en la ropa o los hogares). Estos estándares son útiles
cuando se cree que los daños son extremos (es decir, ya sea catastróficos o minúsculos)
pero están ampliamente distribuidos y afectan a un gran número de personas. Obviamente,
vale la pena prevenir los daños catastróficos (por ejemplo, los desastres nucleares) a través
de la regulación, pero también lo son los daños menores que afectan a miles o millones de
personas. La razón es que el daño a cualquier individuo puede ser pequeño, pero en
conjunto, puede valer la pena la carga de una mayor prevención.
La regulación también puede ser útil cuando se desconoce la fuente del daño. Por ejemplo, en
el caso de riesgos para la salud (p. ej., contaminación) o filtraciones de datos, a menudo
la empresa infractora puede no ser conocida, por lo que vale la pena ordenar controles
específicos para prevenir daños evitables. Sin embargo, su eficacia se ve obstaculizada
cuando las entradas reguladas solo se correlacionan vagamente con las salidas dañinas. Por
ejemplo, exigir la autenticación y el cifrado de dos factores en los sistemas de TI de la salud
puede ser ineficaz si los profesionales de la salud comparten información de inicio de sesión
y permanecen conectados a las aplicaciones, lo que resulta en el robo de identidad médica.
Sin embargo, monitorear el cumplimiento de una regulación bien puede ser más fácil
para una agencia de cumplimiento que estimar la cantidad de daño causado por un evento
en particular. Por ejemplo, puede ser mucho más fácil verificar que una empresa haya
implementado controles básicos de seguridad y haya pasado una auditoría de seguridad
que medir la pérdida total por robo de identidad. Esto lleva a una pregunta separada de qué
tipo de reformas políticas son factibles en lugar de las más efectivas.
Ex postla responsabilidad, por otro lado, está destinada a permitir que las partes lesionadas
recuperen cualquier pérdida a través de un litigio civil. Se espera que el costo de defenderse de un
juicio y la amenaza de juicios futuros obligue a las empresas a internalizar cualquier pérdida,
induciéndolas a aumentar las medidas de prevención de seguridad. La responsabilidad, sin
embargo, se vuelve ineficaz si los daños son incalculables, inverificables o cuando se desconoce la
parte que perjudicó. El robo de identidad y los daños a la privacidad, por ejemplo, a menudo
sufren estas limitaciones; Si bien los tribunales han otorgado legitimación activa a los
demandantes en algunos casos de control de crédito, estos reclamos se desestiman con mayor
frecuencia cuando argumentan un mayor riesgo potencial de robo de identidad o temor a daños
futuros.29Sin embargo, un régimen de responsabilidad tiene la ventaja de permitir que las
empresas gestionen su aseguramiento de la información (generalmente, cualquier medida de
prevención) por su cuenta, de la manera que les resulte más eficiente. Cuando asumen
adecuadamente el costo de sus acciones, naturalmente buscarán formas de reducir el costo total
de cualquier comportamiento dañino.30
Leyes de divulgación de violación de datos

Como resultado de pérdidas derivadas de violaciones de datos, la mayoría de los estados de los
Estados Unidos (así como otros países) han promulgado leyes que exigen que las organizaciones
notifiquen a las personas cuando se pierde o se roba información de identificación personal. Un
objetivo principal de las leyes es empoderar a los consumidores para que tomen medidas a fin de
mitigar las pérdidas. Un objetivo secundario es obligar a las empresas a internalizar una mayor
parte del costo de una violación de datos, induciéndolas así a aumentar su inversión en medidas
de seguridad.31
El impacto de estas leyes aún no se ha examinado completamente, pero la investigación existente
proporciona conclusiones mixtas; un estudio demostró una mejora en las prácticas de las empresas,
mientras que otro encontró solo una reducción marginal en la tasa de robo de identidad de los
consumidores.32Los críticos argumentan que tales leyes infligen costos innecesarios tanto para las
empresas como para los consumidores si, de hecho, las empresas ya soportan la mayor parte de la
pérdida, o cuando los datos perdidos se recuperan incluso antes de acceder a ellos.33Además, cuando
el riesgo de daño es bajo, la notificación innecesaria puede insensibilizar a las personas,

impidiéndoles actuar cuando existe una amenaza grave.34Además, es posible que los
consumidores no puedan responder adecuadamente a las notificaciones de incumplimiento, ya
que las notificaciones pueden presentar una barrera cognitiva y psicológica sustancial para tomar
medidas, lo que también hace que no reaccionen.35Alternativamente, los medios de comunicación
y el floreciente mercado de los servicios de prevención del robo de identidad pueden generar
pánico y confusión, lo que hace que los consumidores reaccionen de forma exagerada al comprar
dichos productos innecesariamente, lo que aumenta sus costos esperados.36
Seguro Cibernético
Desde que se aprobó la primera ley de divulgación de violaciones de datos en 2003, se han
divulgado públicamente miles de violaciones, lo que aumenta los costos para las empresas,
costos contra los cuales prefieren asegurarse (consulte la tabla 6.1 para ver ejemplos de
violaciones de datos corporativos). Lo que siguió es una consecuencia poderosa e
imprevista de impulsar un mercado de seguros cibernéticos.37
Las características definitorias del seguro cibernético son: seguridad interdependiente,
falla correlacionada y asimetría de información. Algunas de estas propiedades son comunes
a todos los mercados de seguros, mientras que otras, y sus efectos combinados, son
exclusivos de los riesgos de los sistemas informáticos en red y los seguros cibernéticos.
Primero, la seguridad interdependiente refleja el grado en que la seguridad de una red
informática se ve afectada por el compromiso de otro sistema (se dice que el sistema
violado impone una externalidad negativa a la víctima). Por ejemplo, la seguridad del
Aeropuerto Nacional Reagan en Washington, DC, puede verse comprometida si el equipaje
del Aeropuerto Internacional de San Francisco no se inspecciona adecuadamente.38Las fallas
correlacionadas son aquellas en las que un solo evento malicioso provoca fallas en una gran
cantidad de sistemas; la pérdida de energía en la compañía de monitoreo de seguridad
como ADT podría comprometer la seguridad de las residencias en los vecindarios
circundantes, por ejemplo. Finalmente, información
Tabla 6.1 Historial de violación de datos
Número de registros
Año Filtración de datos Comprometido Costo estimado para la empresa
2003 empresas tjx inc. 94 millones $ 5 millones

2011 corporación sony 77 millones $ 15 millones
2012 pagos globales inc. 1.5 millones $ 121,2 millones
2013 Corporación objetivo 70 millones $ 11 millones
2014 ebay 145 millones $ 46 millones
2014 El almacén de la Casa 56 millones $ 33 millones
2014 JPMorgan Chase 76 millones $ 250 millones
2015 himno inc. 80 millones $ 100 millones
Se puede acceder a todos los hallazgos en el sitio web de la Comisión de Bolsa y Valores de EE. UU. en Compañía
Limaduras. https://www.sec.gov/edgar/searchedgar/companysearch.html.
la asimetría en el contexto de los seguros refleja el conocido riesgo moral y los problemas de
selección adversa; las empresas se comportan de manera más riesgosa cuando están totalmente
protegidas contra pérdidas y las compañías de seguros tienen dificultades para diferenciar entre
clientes de alto y bajo riesgo.
Las pólizas de seguro cibernético generalmente cubren tres categorías de pérdidas:
pérdidas propias, multas y tarifas reglamentarias y responsabilidad de terceros. La
cobertura de primeros incluye pérdidas derivadas de cortes o costos de interrupción
comercial incurridos debido a una violación de datos, violación de privacidad o incidente de
seguridad. Por ejemplo, costos de notificación de incumplimiento, monitoreo de crédito,
relaciones públicas, investigaciones forenses, soporte de centro de llamadas, interrupción
de negocios y, en algunos casos, incluso extorsión. Las multas y tarifas reglamentarias
cubren las sanciones impuestas por agencias estatales o federales (p. ej., por la FTC o la
SEC). La cobertura de responsabilidad civil de terceros incluye acuerdos, juicios y costos de
defensa debido a litigios civiles. Naturalmente, estas políticas también incluyen muchas
exclusiones, como discriminación, actos delictivos o deliberados, infracción de patentes o
violaciones de secretos comerciales,
Los datos recopilados por las compañías de seguros les brindan una ventaja única sobre
cualquier otra entidad, incluso las agencias gubernamentales, cuando se trata de evaluar
los beneficios de los diferentes controles y prácticas de aseguramiento de la información.
Recuerde que las preguntas críticas son: ¿qué controles de seguridad son más efectivos
para reducir el riesgo? ¿Es mejor tener un firewall o un sistema de detección de intrusos?
¿La autenticación de dos factores es realmente mejor que la de un solo factor? Si es así,
¿cuánto y cuánto de descuento en la prima debería disfrutar un titular de póliza? Hasta la
fecha, ninguna empresa u organismo gubernamental ha sido capaz de responder a estas
preguntas básicas, pero fundamentales.
Las compañías de seguros están perfectamente posicionadas porque poseen los datos
necesarios. Usando sus formularios de evaluación de seguridad, pólizas y datos de reclamos,
pueden correlacionar los controles de aseguramiento de la información de una entidad asegurada
con los resultados de pérdidas. Con suficientes datos, el transportista podría ordenar los controles
de seguridad según su eficacia. En efecto, esto determinaría qué medidas de aseguramiento de la

información son más efectivas para reducir las pérdidas. Estas respuestas podrían ser invaluables
para impulsar la investigación de aseguramiento de la información, el mercado de seguros
cibernéticos y, en última instancia, la postura de seguridad de la infraestructura crítica de EE. UU.39
Dispositivos de políticas alternativas
Los impuestos, los subsidios y los empujones son métodos adicionales para inducir un comportamiento
eficiente. A menudo se piensa que los impuestos y los subsidios producen resultados equivalentes, ya sea
que un formulador de políticas grave el mal comportamiento o subsidie el buen comportamiento (y de
esta manera, cada uno se considera una política eficiente). Sin embargo, los impuestos (o cualquier forma
de sanción) serán menos eficientes a medida que aumente el costo de aplicar esas sanciones. Por ejemplo,
se puede simplemente pagar un subsidio a aquellos que
cumplir, mientras que el incumplimiento debe detectarse y hacerse cumplir, lo que puede
resultar costoso. Las sanciones pueden ser preferibles a los subsidios si elamenazade
sancionar es creíble, porque la conducta deseada se logra sin costo alguno.40Algunos
incluso han sugerido una “recompensa reversible” en la que se ofrece un subsidio por el
cumplimiento, pero luego, en caso de incumplimiento, esa misma recompensa se utiliza
para sancionar (quizás a través de un litigio u otra sanción), duplicando así el mecanismo de
incentivos.41
Empujar se ha convertido en una forma muy popular de política pública.42Es una forma de
arquitectura de elección que explota específicamente (en lugar de ignorar) los sesgos cognitivos
humanos para lograr resultados que se cree que son los mejores intereses del individuo. Por
ejemplo, si es más probable que los estudiantes se llenen con los alimentos que se presentan
primero en la fila de la cafetería, simplemente presentar alimentos más saludables antes de los
que engordan debería crear platos más saludables, sin eliminar la elección personal. De hecho, no
hay ninguna razón por la que no se pueda aplicar el empujón al sector privado con el fin de
realizar una inversión adecuada en el aseguramiento de la información; después de todo, las
empresas (y las agencias gubernamentales) están dirigidas por personas.
LA SEGURIDAD COMO INVERSIÓN
La seguridad de la información como medio para evitar el compromiso

de una computadora o red es fundamentalmente una cuestión de
inversión en seguridad, ya que las empresas buscan reducir la
probabilidad de que un atacante robe datos confidenciales o interrumpa
las operaciones. Por un lado, la inversión insuficiente es menos costosa,
produce una mayor cantidad de ataques exitosos y es subóptima ya que
las empresas pierden información valiosa y clientes por la incapacidad
de proteger sus datos y sistemas. Por otro lado, la inversión excesiva
puede ser igualmente dañina, ya que las empresas gastan recursos
escasos con poco o ningún retorno en la mejora de la seguridad. Un

esfuerzo por frustrar cada ataque individual es probablemente imposible
ya que no existen sistemas perfectamente seguros, especialmente dada
la participación necesaria de operadores humanos. Enmarcar la
seguridad como una inversión, por lo tanto,
Muchas organizaciones de derechos del consumidor y defensores de la privacidad
argumentan que las empresas no están gastando lo suficiente en el aseguramiento de la
información. En su opinión, esto puede estar justificado por las crecientes tasas y la escala
de las vulnerabilidades de software y las filtraciones de datos. Este argumento se basa en
dos condiciones. En primer lugar, supone que los consumidores no pueden, o no deben,
tomar medidas para proteger sus propios datos y dispositivos informáticos. Al igual que los
peatones que buscan cruzar una calle muy transitada, ¿los consumidores mismos no tienen
la responsabilidad de tomar las precauciones adecuadas al navegar por Internet y proteger
sus datos personales? Ciertamente, hay muchas circunstancias en las que las personas se
ven perjudicadas por causas ajenas a ellas (p. ej., el robo de la información personal de uno
debido a una violación de datos). Sin embargo, también hay muchas situaciones en las que
las personasestánopodría serfacultado para tomar medidas para proteger sus datos (como
la práctica de hábitos de navegación adecuados, la divulgación adecuada de información
personal, higiene de contraseñas, almacenamiento de registros de datos y portátiles, etc.).
Y, por lo tanto, las discusiones sobre políticas o regulaciones para obligar a las empresas a
aumentar la ciberseguridad también deben equilibrarse con discusiones sobre inducir
consumidorestomar las precauciones de seguridad y privacidad adecuadas.
La segunda preocupación es que el argumento de que las empresas no invierten lo suficiente
asume implícitamente que un mundo donde las empresashizoinvertir adecuadamente
experimentaríaceroviolaciones de datos o incidentes de seguridad. Efectivamente, seguridad
“apropiada”, según ese argumento, implica seguridad “absoluta”. Pero como hemos escuchado
muchas veces, la seguridad perfecta solo se puede lograr con cero utilidad (es decir, una
computadora rota es perfectamente segura pero completamente inútil). Por lo tanto, si
reconocemos que la seguridad perfecta no es práctica ni eficiente y, en cambio, buscamos que
tanto las empresas como los individuos asuman alguna responsabilidad por sus acciones e
invirtamos en un nivel eficiente de precaución (es decir, uno que equilibre los costos incrementales
con los costos incrementales). beneficios), entonces esto describiría un mundo en el que existieron
tanto violaciones de datos como incidentes de seguridad.
El punto es simplemente que la existencia de incidentes de seguridad podría, de hecho,
reflejar un estado de inversión eficiente en seguridad. El hecho de que veamos cierto
volumen de filtraciones de datos o incidentes de seguridad nonecesariamenteimplica que
las empresas (o los individuos) no sonyagastar una cantidad eficiente en seguridad. Si bien
un mayor gasto puede reducir los incidentes de seguridad, ese costo adicional de inversión
puede ser mayor que el beneficio de esa inversión. Si la eficiencia es el objetivo principal,
entonces antes de responder a la pregunta de "cómo ¿Deberíamos animar a las empresas a
invertir más?”. primero debemos preguntar, “debería animamos a las empresas a invertir
más?”
Si bien algunos formuladores de políticas pueden aplaudir a las empresas por administrar el
aseguramiento de la información al igual que con cualquier otro tipo de riesgo al que se enfrenten
(producto, empleado, corporativo, etc.), esta acción tiene una consecuencia importante. Es decir,
que al hacer esto, las empresas (pueden y deben) actuar en su mejor interés. Si bien este
comportamiento es apropiado, estas acciones pueden ignorar cualquier daño que causen a los
consumidores. Es decir, cuando las empresas causan daños a otros pero no asumen la carga de
esos costos, actúan de una manera que no es en el mejor interés de la sociedad.
En resumen, el objetivo de un formulador de políticas debe ser optimizar, no minimizar
los incidentes de seguridad. Es decir, debe buscar equilibrar el costo de una medida de
seguridad con su beneficio. Así, la existencia de brechas de datos e incidentes de seguridad
nonecesariamenteimplica que las empresas no están invirtiendo en un nivel eficiente de
seguridad. De hecho, la ausencia de ataques exitosos que conduzcan a una filtración
probablemente implicaría un gasto excesivo. Las personas, como las empresas, son
egoísta; tomamos decisiones para maximizar nuestros rendimientos y, por lo tanto, no debemos esperar
que las empresas hagan lo contrario (o envidiarlas cuando lo hacen). El desafío de obstaculizar el delito
cibernético es encontrar el punto en el que una inversión razonable en seguridad produzca rendimientos
apreciables, y las técnicas efectivas de aseguramiento de la información puedan actuar para disuadir a la
mayoría de los atacantes y prevenir incidentes catastróficos.
CONCLUSIÓN
Estructurar una respuesta política al delito cibernético que fomente la inversión

eficiente en seguridad e interrumpa el mercado de amenazas es una propuesta
difícil, pero el progreso es posible con un enfoque que reconozca los escasos
recursos disponibles tanto para los atacantes como para los defensores. Una
consideración importante para la reforma de políticas es el papel de los
investigadores y académicos independientes, que desempeñan una función
importante en la identificación de vulnerabilidades y la prueba de la seguridad de
los sistemas de información. Estas actividades, como las pruebas de penetración
y la divulgación de vulnerabilidades, a veces pueden parecer incómodamente
similares a la actividad delictiva en un alto nivel, por lo que se requiere cierto
grado de matiz para cualquier reforma legal que pueda afectar sus actividades.
Combatir el delito cibernético requiere mirar todo el tablero,
PUNTOS DESTACADOS DEL CAPÍTULO
Definición de delitos cibernéticos.El delito cibernético cubre una amplia gama de actividades
que incluyen robo, fraude y acoso; robar propiedad intelectual valiosa como parte del
espionaje industrial; cometer fraude financiero y robo de tarjetas de crédito; e interrumpir los
servicios de Internet por objetivos ideológicos ("hacktivismo"). Los delitos tienen como objetivo
tanto a las empresas como a los consumidores, y aunque rara vez resultan en daños físicos o
daños a la propiedad, aún pueden tener consecuencias graves.
Inversiones inteligentes.Tanto el costo de adquirir e implementar malware como la postura

de seguridad de las empresas potenciales pueden influir en la selección de objetivos por parte
de los grupos criminales. Por lo tanto, los ciberataques exitosos pueden considerarse el
resultado de una inversión inadecuada en seguridad.
Interrupción de los mercados criminales. Para combatir el delito cibernético, un enfoque

puede ser atacar los mecanismos de reputación, interrumpiendo las tenues cadenas de
confianza que vinculan a compradores y vendedores de software malicioso e información
robada.
Apalancamiento de aseguradoras.Los datos recopilados por las compañías de seguros les

brindan una ventaja única sobre cualquier otra entidad, incluso las agencias gubernamentales,
cuando se trata de evaluar los beneficios de los diferentes controles y prácticas de
aseguramiento de la información.
Responsabilidad compartida.Las discusiones sobre políticas o regulaciones para obligar a las

empresas a aumentar la ciberseguridad también deben equilibrarse con discusiones sobre
cómo inducir a los consumidores a tomar las precauciones de seguridad y privacidad
adecuadas.
Optimización de la Intervención del Estado.Enmarcar la seguridad como una inversión

propone que el propósito de la intervención del gobierno es apoyar un mercado que
aliente a las empresas a encontrar el punto óptimo entre el costo de los ataques y el
beneficio de las medidas defensivas de aseguramiento de la información.
NOTAS
1. Sin embargo, en algunos casos de ciberacoso y acoso en línea, los resultados pueden
ser trágico “The Top 6 Unforgettable Cyberbullying Cases |NoBullying|,” NoBullying Bullying
CyberBullying Resources, 23 de abril de 2013, consultado el 2 de marzo de 2016, http://
nobullying.com/six-unforgettable-cyber-bullying-cases/.
2. Dan Goodin, "Contratista de TI atrapado robando información de empleados de Shell Oil"
The Register, 7 de octubre de 2008, consultado el 2 de marzo de 2016, http://www.theregister.
co.uk/2008/10/07/shell_oil_database_breach/; Robert McMillan, "La violación de datos de United
Healthcare conduce al robo de identidad",Mundo de la informática, http://www.computerworld.
com/article/2535131/security0/unitedhealthcare-data-breach-leads-to-id-theft-at-ucirvine.html;
Mary Hogan, “Arrestos realizados en caso de robo de identidad”,Las noticias de Sealy, 23 de
septiembre de 2008, consultado el 3 de marzo de 2016, http://www.sealynews.com/news/
article_8fb9ad7b-6776-5251-ab26-b0863106007f.html.
3. Synovate, “Comisión Federal de Comercio-Encuesta sobre robo de identidad de 2006
Informe,"Diccionario químico condensado de Hawley, 15 de noviembre de 2007, consultado el 2 de
marzo de 2016, doi:10.1002/9780470114735.hawley07141; Katrina Baum, “Identity Theft, 2004”,
abril de 2006, Oficina de Estadísticas de Justicia.
4. Por ejemplo, Target ha incurrido en $252 millones en costos debido a sus datos
incumplimiento. Kevin M. McGinty, “Etiqueta de precio de filtración de datos objetivo: $252 millones y
contando | Cuestiones de privacidad y seguridad”,Asuntos de seguridad de privacidad, 26 de febrero de
2015, consultado el 2 de marzo de 2016, http://www.privacyandsecuritymatters.com/2015/02/target-data-
breach-price-tag-252-million-and-counting/.
5. Ross Anderson y Tyler Moore, “La economía de la seguridad de la información:
Una encuesta y preguntas abiertas”,Laboratorio de Computación de la Universidad de Cambridge,
consultado el 2 de marzo de 2016, http://www.cl.cam.ac.uk/~rja14/Papers/toulouse-summary. pdf.
6. Gary Becker, “Crimen y castigo: un enfoque económico”, enEnsayos

en la economía del crimen y el castigo, 169–93 (Nueva York: Journal of Political
Economy, 1968).
7. Trey Herr, "PrEP: un marco para el malware y las armas cibernéticas"El periódico
de guerra de la información13, edición. 1 de febrero de 2014, 87–106.
8. Jamie Cifuentes, “¿Alquilar, comprar o arrendar? Juegos de herramientas de explotación a la carta”,
Vigilancia de seguridad, 19 de marzo de 2013, http://securitywatch.pcmag.com/none/309324-
rentbuy-or-lease-exploit-toolkits-a-la-carte.
9. Tim G., "Alquilar una granja de zombis: redes de bots y la economía de los piratas informáticos"
Symantec,8 de agosto de 2014, consultado el 2 de marzo de 2016, http://www.symantec.com/
connect/blogs/renting-zombie-farm-botnets-and-hacker-economy.
10. Thomas J. Holt y Eric Lampke, "Exploring Stolen Data Markets Online: Products and
Market Forces", Taylor & Francis, 17 de marzo de 2010, consultado el 4 de marzo de 2016,
doi:10.1080/14786011003634415.
11. Brian Krebs, "Derribar los sitios fraudulentos es una locura"Krebs sobre la seguridad RSS, 15
de abril de 2015, consultado el 2 de marzo de 2016, http://krebsonsecurity.com/2015/04/take-
down-fraud-sites-is-whac-a-mole/.
12. FireEye, Supply Chain Analysis: From Quartermaster to Sunshop, Report, 2014,
consultado el 4 de marzo de 2016, https://www.fireeye.com/content/dam/fireeye-www/
global/en/current-threats/pdfs /rpt-malware-supply-chain.pdf.
13. Roderic Broadhurst, Peter Grabosky, Mamoun Alazab y Steven Chon, “Organizaciones
y delitos cibernéticos: un análisis de la naturaleza de los grupos involucrados en delitos
cibernéticos”Revista Internacional de Criminología Cibernética8, edición. 1 (enero–junio de
2014), 1–20, http://www.cybercrimejournal.com/broadhurstetalijcc2014vol8issue1. pdf.
14. Brian Krebs, "Mira dentro de una tienda de cardado profesional"Krebs sobre la seguridad
RSS, 4 de junio de 2014, http://krebsonsecurity.com/2014/06/peek-inside-a-professionalcarding-
shop/.
15. Vaibhav Garb, Sadia Afroz, Rebekah Overdorf y Rachel Greenstadt, “Trabajo
cooperativo asistido por computadora”SpringerReferencia, consultado el 3 de marzo de
2016, doi:10.1007/springerreference_61822.
16. Para obtener más información, consulte el capítulo 7: “Alteración de los mercados de malware”.
17. Thomas J. Holt, “The Market for Malware”, Speech, Def Con 15, Riviera Hotel and
Casino, Las Vegas, 4 de agosto de 2007, consultado el 4 de marzo de 2016. https://
www.defcon. org/images/defcon-15/dc15-presentations/dc-15-holt.pdf.
18. Raymond Hil, “El crimen informático es más ingenioso de lo que piensas”Dinámica
Suroeste, consultado el 2 de marzo de 2016, http://www.dynamicssouthwest.com/
computer-crime-is-slicker-than-you-think/.
19. Candid Wueest, "Mercado negro clandestino: comercio próspero de datos robados,
malware y servicios de ataque"Symantec, 20 de noviembre de 2015, consultado el 2 de
marzo de 2016. http://www.symantec.com/connect/blogs/underground-blackmarket-
thriving-trade-stolen-data-malware-and-attack-services.
20. Thomas J. Holt, “The Market for Malware”, Speech, Def Con 15, Riviera Hotel and
Casino, Las Vegas, 4 de agosto de 2007, consultado el 4 de marzo de 2016, https://
www.defcon. org/images/defcon-15/dc15-presentations/dc-15-holt.pdf.
21. Brian Krebs, “La rivalidad entre SpyEye y ZeuS”Krebs sobre la seguridadrss, abril
10 de 2015, consultado el 2 de marzo de 2016, http://krebsonsecurity.com/2010/04/spyeye-vszeus-
rivalry/.
22. Sean Martin, “La creación de un mercado de ciberdelincuencia”OSC,11 de agosto de 2014,
consultado el 2 de marzo de 2016, http://www.csoonline.com/article/2463175/data-protection/the-
making-of-a-cybercrime-market.html.
23. Brian Krebs, "Revisando la fusión SpyEye/ZeuS",Krebs sobre la seguridadRSS, 11 de
febrero de 2011, consultado el 2 de marzo de 2016, http://krebsonsecurity.com/2011/02/
revisiting-the-spyeyezeus-merger/.
24. Elinor Mills, "Preguntas y respuestas: agente del FBI mira hacia atrás en el tiempo haciéndose pasar
por un cibercriminal"CNET, 29 de junio de 2009, consultado el 2 de marzo de 2016, http://www.cnet.com/
news/qa-fbi-agent-looks-back-on-time-posing-as-a-cybercriminal/.
25. Para obtener más información, consulte el capítulo 8—“La Ley de Abuso y Fraude Informático:
Estructura, Controversias y Propuestas de Reforma”.
26. “18 USC §§ 1030(a)(1), (a)(2), & (a)(4),” LII/Legal Information Institute, consultado
el 2 de marzo de 2016, https://www.law .cornell.edu/uscode/text/18/1030; “18 USC §§
1030(a)(3),” LII/Legal Information Institute, consultado el 3 de marzo de 2016, https://
www.law.cornell.edu/uscode/text/18/1030; “18 USC §§ 1030(a)(5)(B) & (a) (5)(C)”, LII/
Legal Information Institute, consultado el 3 de marzo de 2016, https://www.law.
cornell.edu/uscode/text/18/1030.
27. Alden Anderson, “La Ley de Abuso y Fraude Informático: Hackeando el Debate
de la Autorización,”Diario de JurimetríaVolumen 53 (verano de 2013), 447–66, http://
www.americanbar.org/content/dam/aba/publications/Jurimetrics/summer2013/
anderson.authcheckdam.pdf.
28. Ver en general, William Landes y Richard Posner,La estructura económica de la ley de
daños(Cambridge: Harvard University Press, 1987); Steven Shavell, “Economía y
Responsabilidad por Accidentes”,Nuevo Diccionario Palgrave de Economía, 2ª edición
(Macmillan, 2008); Charles Kolstad, Thomas Ulen y Gary Johnson, “Responsabilidad ex post
por daños frente a regulación de seguridad ex ante: ¿sustitutos o complementos?” Revisión
económica estadounidense80, edición. 4, septiembre de 1990, 888–901.
29. Sasha Romanosky, David Hoffman y Alessandro Acquisti, “Análisis empírico de
los litigios por violación de datos”Revista de estudios jurídicos empíricos11, 2014, 74–
104. doi: 10.1111/jels.12035.
30. Véase Romanosky et al. (2009) para una discusión completa de cómo estas intervenciones se han
aplicado a las violaciones de la información personal del consumidor.
31. Deborah Majoras, declaración ante el Comité de Comercio, Ciencia y
Transporte, 16 de junio de 2005.
32. Clínica de Leyes, Tecnología y Políticas Públicas de Samuelson, “Security Breach
Notification Laws: Views from Chief Security Officers”, diciembre de 2007, https://
www.law.berkeley.edu/files/cso_study.pdf; Sasha Romanosky, Rahul Telang y Alessandro
Acquisti, "¿Reducen las leyes de divulgación de violación de datos el robo de identidad?"
Revista de análisis y gestión de políticasVolumen 30, edición. 2, 2011, 256–86. http://
papers.ssrn.com/sol3/papers.cfm?abstract_id=1268926.
33. Thomas Lenard y Paul Rubin, "Reduzca la velocidad en la legislación de seguridad de datos"
Instantánea de progreso1.9, agosto de 2005, https://www.techpolicyinstitute.org/files/ps1.9.pdf.
34. Ibíd.
35. Sasha Romanosky y Alessandro Acquisti, “Costos de privacidad y protección de datos
personales: perspectivas económicas y legales de la regulación ex ante, responsabilidad ex
post y divulgación de información”Revista de derecho tecnológico de Berkeley24, edición. 3
(2011), http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1522605.
36. Para obtener más información, consulte el capítulo 9: “Leyes de notificación de incumplimiento: la política y la práctica”.
37. Una versión de este capítulo apareció en Sasha Romanosky, Comments to the
Department of Commerce, 26 de abril de 2013, http://www.ntia.doc.gov/files/ntia/
romanosky_comments.pdf.
38. Geoffrey Heal y Howard Kunreuther,Activos y pasivos ambientales: manejo de
riesgos catastróficos,Documento técnico n. 2008-11-06, noviembre de 2008, http://
opim.wharton.upenn.edu/risk/library/WP2008-11-06_GH,HK_EnvAssets.pdf.
39. Para obtener más información, consulte el capítulo 10: “Ciberseguro: un enfoque basado en el mercado
para la garantía de la información”.
40. Donald A. Wittman, “¿Responsabilidad por daños o restitución de beneficios?”La
revista de estudios jurídicos13, edición. 1 (1984), 57.
41. Omri Ben-Shahar y Anu Bradford, “Recompensas reversibles,”Revista estadounidense
de derecho y economía15 (2013), 156.
42. Robert Sugden, "Sobre empujones: mejorar las decisiones sobre la salud, la
riqueza y la felicidad por Richard H. Thaler y Cass R. Sunstein"Revista Internacional de
Economía de la Empresa16, edición. 3 (2009), http://www.tandfonline.com/doi/abs/
10.1080/13571510903227064.
Capítulo 7
Interrupción de los mercados de malware
Trey Herr y Ryan Ellis
Descifrar la estructura, los participantes y las interacciones del mercado de software

malicioso es imperativo para una política informada.1La clave para comprender el
comportamiento de los grupos de delincuentes cibernéticos es su acceso e incentivos para
usar herramientas maliciosas. El marco y el lenguaje del mercado es un medio para
describir cómo los grupos construyen, compran e implementan estas herramientas. Define
la difusión de capacidades entre diferentes organizaciones a lo largo del tiempo, las diversas
especializaciones de los participantes y la lógica rectora de las herramientas maliciosas y su
uso como ecosistema.
Este mercado también tiene participantes centrados en la defensa, como Google y
Microsoft, que compran información sobre vulnerabilidades para mejorar su software antes
de que pueda usarse para desarrollar herramientas maliciosas. La interacción de grupos
maliciosos y defensivos es un foco de esfuerzos de políticas recientes para regular la
propagación y el uso de malware a través del Acuerdo de Wassenaar.2El software malicioso
son las herramientas del comercio para interrumpir los servicios de Internet, robar
información personal, extorsionar a los usuarios y cometer delitos cibernéticos de todo tipo.
Por ejemplo, Carberp, un paquete de software malicioso utilizado para atacar bancos y
credenciales de cuentas financieras, se alquila a los usuarios y se combina con otros
servicios para atacar organizaciones específicas. El mercado criminal descrito en el capítulo
6 es un mecanismo para obtener valor de los bienes robados, así como para comprar estas
herramientas. Este mercado es importante porque es un medio para transferir capacidades
entre grupos y puede permitir nuevos ataques, así como la propagación de exploits. Este
capítulo cubre la gama completa de compradores potenciales, pero enfatiza los grupos no
estatales.
Describir el mercado de malware es un proceso de explicar quién participa en la compra
y venta de estas herramientas y cómo se realizan estas transacciones. Usando esta
estructura como punto de partida para identificar oportunidades de interrupción, esta
discusión del mercado de malware se convierte en un ejercicio de mapeo para identificar
105

Cyber Insecurity Navigating The Perils of The Next Information Age (Pp. 89-104) .En - Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cyber Insecurity Navigating The Perils of The Next Information Age (Pp. 89-104) .En - Es

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

Comprender el delito cibernético

empresas pueden incluir investigaciones forenses, reparación del consumidor, tarifas de

EL MERCADO DE LAS AMENAZAS

Las organizaciones criminales varían en tamaño, propósito y sofisticación. Algunos se

Figura 6.1 Diagrama de red de bots

organizaciones, persiguen una amplia gama de actividades delictivas, utilizando la información

o asegurar la información de la tarjeta de crédito luego la distribuyen a un gran número de

de cerca bajo el tema de operaciones cibernéticas militares en lugar de delitos cibernéticos.

Dinámica del mercado

Al igual que el mercado de un automóvil usado o un horno tostador nuevo, el mercado de

información de identificación personal también podría ayudar a interrumpir estos mercados

Hay muchas formas de intervención gubernamental que se pueden adoptar para

Ex ante versus ex post

Como se mencionó, dos intervenciones familiares sonex anteregulación de seguridad

Leyes de divulgación de violación de datos

el riesgo de daño es bajo, la notificación innecesaria puede insensibilizar a las personas,

Tabla 6.1 Historial de violación de datos

2003 empresas tjx inc. 94 millones $ 5 millones

de seguridad según su eficacia. En efecto, esto determinaría qué medidas de aseguramiento de la

Dispositivos de políticas alternativas

LA SEGURIDAD COMO INVERSIÓN

La seguridad de la información como medio para evitar el compromiso

escasos con poco o ningún retorno en la mejora de la seguridad. Un

Estructurar una respuesta política al delito cibernético que fomente la inversión

PUNTOS DESTACADOS DEL CAPÍTULO

Inversiones inteligentes.Tanto el costo de adquirir e implementar malware como la postura

Interrupción de los mercados criminales. Para combatir el delito cibernético, un enfoque

Apalancamiento de aseguradoras.Los datos recopilados por las compañías de seguros les

Responsabilidad compartida.Las discusiones sobre políticas o regulaciones para obligar a las

Optimización de la Intervención del Estado.Enmarcar la seguridad como una inversión

6. Gary Becker, “Crimen y castigo: un enfoque económico”, enEnsayos

Interrupción de los mercados de malware

Trey Herr y Ryan Ellis

Descifrar la estructura, los participantes y las interacciones del mercado de software

También podría gustarte