Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
Capítulo 6
El delito cibernético cubre una amplia gama de actividades que incluyen robo, fraude y acoso;
robar propiedad intelectual valiosa como parte del espionaje industrial; cometer fraude financiero
y robo de tarjetas de crédito; e interrumpir los servicios de Internet por objetivos ideológicos
("hacktivismo"). Los delitos tienen como objetivo tanto a las empresas como a los consumidores, y
aunque rara vez resultan en daños físicos o daños a la propiedad, aún pueden tener consecuencias
graves.1Por ejemplo, muchas violaciones de datos son causadas por delincuentes que piratean
corporaciones privadas y agencias gubernamentales para robar información personal. Los datos
comprometidos pueden incluir nombres de personas, direcciones, números de seguro social,
fechas de nacimiento, licencias de conducir, números de pasaporte, números de tarjetas de crédito
y otros datos financieros. Luego, la información se puede usar para cometer delitos, incluido el
fraude de desempleo, el fraude fiscal, el fraude de préstamos y el fraude con tarjetas de pago.2Los
daños individuales derivados de estas infracciones incluyen pérdidas financieras directas, la carga
del aumento de las tasas de interés de los préstamos, la denegación de servicios públicos,
demandas civiles o incluso investigaciones penales.3Los costos resultantes en los que incurren las
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
En general, el capítulo enmarca este complicado tema como una discusión de dos
mercados: uno de seguridad de la información, ocupado por víctimas (por ejemplo,
empresas y consumidores), y otro de amenazas, donde los compradores y vendedores de
software malicioso e información robada intercambian sus productos.5Las soluciones de
políticas que intentan reducir los daños a las víctimas y el delito cibernético abordan más
que solo la seguridad de dispositivos o redes, buscan influir en los incentivos y
comportamientos de los actores ilícitos y las víctimas a través del derecho penal, civil y
administrativo. La pregunta motivadora es: ¿cómo pueden las intervenciones del gobierno
afectar los incentivos de los actores en cada uno de estos mercados para reducir las
pérdidas y lograr una inversión más eficiente en seguridad?
89
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
90 Sasha Romanosky y Trey Herr
¿Qué impulsa el delito cibernético? La mayoría de los delitos basados o respaldados por
computadoras tienen una motivación financiera y, por lo tanto, son el resultado de un análisis
racional de costo-beneficio por parte de los atacantes.6Tanto el costo de adquirir e implementar
malware como la postura de seguridad de las empresas potenciales pueden influir en la selección
de objetivos por parte de los grupos criminales. Por lo tanto, los ciberataques exitosos pueden
considerarse el resultado de una inversión inadecuada en seguridad. Los atacantes constituyen un
mercado de “amenazas”, contrapesado con el mercado de seguridad de una víctima. En estos
mercados existen dos bienes principales: software malicioso y datos robados.
Bienes
El software malicioso utilizado por los delincuentes para obtener acceso a los sistemas de
información de la víctima se compone de tres partes, cada una de las cuales se puede desarrollar,
comprar y vender de forma independiente: un método de propagación, exploits y una carga útil.7
Estos diferentes componentes se intercambian utilizando varios tipos de transacciones, en algunos
casos alquilados, mientras que en otros casos se venden directamente.8Uno de los medios más
populares para distribuir malware es a través de correos electrónicos de phishing: correos
electrónicos falsos que parecen ser de un remitente legítimo y se distribuyen a una amplia
audiencia. Estos correos electrónicos de phishing pueden ser propagados por grandes colecciones
de computadoras zombie llamadas botnets (consulte la descripción de Botnet en la figura 6.1). Las
botnets generalmente se alquilan en lugar de venderse, y una persona mantiene las máquinas en
cada “rebaño” de computadoras o grupo pequeño que continuamente infecta nuevas máquinas
para compensar las computadoras perdidas o expandir su rebaño.9
Los datos robados vienen en una variedad aún mayor de formas; por ejemplo, los números de
tarjetas de crédito se roban, agrupan y venden a través de una combinación en constante
evolución de mercados clandestinos ilegales.10Además, los ladrones pueden usar el botín ellos
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
mismos, mientras que en otros casos los datos robados se venden a investigadores de seguridad
oa corporaciones como bancos que buscan detectar cuentas fraudulentas.11
Estos mercados de malware y datos robados cuentan con el respaldo de varios tipos de actores, que se
describen a continuación.
Actores
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
Comprender el delito cibernético 91
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
92 Sasha Romanosky y Trey Herr
correo electrónico como medio para desarrollar y sostener ataques. Los precios de las funciones
personalizadas y las revisiones se añaden a la compra inicial por parte de los vendedores que
esperan repetir el negocio o que venden una herramienta a los usuarios como parte de un
servicio. La carga útil maliciosa "Pinch" ofrece a los usuarios un medio para robar datos de
sistemas objetivo en una variedad de configuraciones. Aunque en un momento el código fuente de
Pinch se publicó en línea, la herramienta continuó actualizándose y vendiéndose regularmente por
hasta $ 30 por usuario.20
La competencia también juega un papel en el mercado de las amenazas. Cuando los
compradores pueden seleccionar entre diferentes vendedores, entran en juego los mecanismos
competitivos tradicionales que reducen el precio y aumentan la calidad, especialmente para los
componentes de software malicioso. Un ejemplo es la evolución de SpyEye, un rival del popular
malware ZeuS que se ha utilizado principalmente para apuntar a los sistemas bancarios en busca
de credenciales de usuario, pero ahora incluye una serie de otras funciones.21Temprano
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
Comprender el delito cibernético 93
Las versiones de ZeuS eran relativamente simples, pero la aparición de SpyEye a un precio
más bajo en los mismos foros para dirigirse a los mismos clientes dio lugar a una carrera
armamentista entre las dos cargas, y los desarrolladores se apresuraron a agregar más
funciones a cada una en un esfuerzo por atraer y mantener clientes.22En 2010, poco más de
un año después del surgimiento de SpyEye, los dos se fusionaron y ZeuS se incorporó a la
marca de su rival.23
INFLUENCIAR EL MERCADO
A menudo hay dos oportunidades para las intervenciones de política:ex ante, o antes del
evento, yex post, después del evento.ex anteLas oportunidades para dar forma al mercado
de amenazas se basan principalmente en alterar la dinámica del mercado explicada
anteriormente. Si bien el precio objetivo parece un primer paso obvio, hay múltiples
subproductos a considerar. Intentar aumentar el precio de los componentes de software
malicioso puede hacer que sea menos atractivo para los atacantes poco calificados adquirir
capacidades y podría reducir la demanda general, pero dicho aumento también puede
incentivar a los nuevos vendedores a unirse al mercado, aumentando así la variedad o la
sofisticación de lo que está disponible. Para la información robada, existen igualmente
múltiples efectos de cualquier acción; intentar aumentar el precio de la información robada
puede reducir la cantidad de personas dispuestas a realizar compras, pero podría aumentar
el valor percibido de dicha información, incentivando intentos más elaborados para robar
nuevas credenciales y datos de tarjetas.
Un enfoque alternativo puede ser atacar los mecanismos de reputación, interrumpiendo las
tenues cadenas de confianza que vinculan a compradores y vendedores de software malicioso e
información robada. Por ejemplo, los agentes encargados de hacer cumplir la ley a veces se hacen
pasar por vendedores y falsifican reseñas, pero también pueden establecer mercados alternativos
en un esfuerzo por llevar a los usuarios a un número cada vez menor de plataformas controladas.
24Sembrar desconfianza mediante la difusión de tarjetas de crédito obsoletas o inútiles o
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
94 Sasha Romanosky y Trey Herr
como operadores de foros que proporcionan un mercado para estas interacciones. Una alternativa
convencional a atacar directamente el mercado en busca de amenazas es aplicar sanciones a las
actividades que se llevan a cabo y tratar de enjuiciar a los compradores y vendedores.
El principal vehículo legal para la aplicación de la ley delictiva cibernética de EE. UU. es el
Ley de Abuso y Fraude Informático(CFAA), promulgada originalmente en 1986 y modificada
varias veces desde entonces.25La CFAA tipifica conductas en dos categorías generales:
acceso a sistemas informáticos y actividades en ellos. Las nueve violaciones principales
incluyen “exceder el acceso autorizado” a un sistema informático, invadir una computadora
del gobierno y causar daños mediante el acceso intencional, ya sea de manera imprudente
o negligente.26Hay limitaciones a la ley, sin embargo. Esto incluye un debate continuo
dentro de los tribunales sobre la definición de acceso "autorizado" donde hay al menos tres
definiciones en competencia: (a) comportamiento tomado para eludir las medidas de
seguridad existentes y claramente evidentes,
(b) cualquier actividad, incluida la realizada por usuarios autorizados, que exceda el alcance
autorizado de las operaciones en ese sistema informático, y (c) acciones tomadas para
obtener acceso a la información en exceso de aquella para la cual se concedió originalmente
el uso del sistema informático. .27
EL MERCADO DE LA SEGURIDAD
La regulación también puede ser útil cuando se desconoce la fuente del daño. Por ejemplo, en
el caso de riesgos para la salud (p. ej., contaminación) o filtraciones de datos, a menudo
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
Comprender el delito cibernético 95
la empresa infractora puede no ser conocida, por lo que vale la pena ordenar controles
específicos para prevenir daños evitables. Sin embargo, su eficacia se ve obstaculizada
cuando las entradas reguladas solo se correlacionan vagamente con las salidas dañinas. Por
ejemplo, exigir la autenticación y el cifrado de dos factores en los sistemas de TI de la salud
puede ser ineficaz si los profesionales de la salud comparten información de inicio de sesión
y permanecen conectados a las aplicaciones, lo que resulta en el robo de identidad médica.
Sin embargo, monitorear el cumplimiento de una regulación bien puede ser más fácil
para una agencia de cumplimiento que estimar la cantidad de daño causado por un evento
en particular. Por ejemplo, puede ser mucho más fácil verificar que una empresa haya
implementado controles básicos de seguridad y haya pasado una auditoría de seguridad
que medir la pérdida total por robo de identidad. Esto lleva a una pregunta separada de qué
tipo de reformas políticas son factibles en lugar de las más efectivas.
Ex postla responsabilidad, por otro lado, está destinada a permitir que las partes lesionadas
recuperen cualquier pérdida a través de un litigio civil. Se espera que el costo de defenderse de un
juicio y la amenaza de juicios futuros obligue a las empresas a internalizar cualquier pérdida,
induciéndolas a aumentar las medidas de prevención de seguridad. La responsabilidad, sin
embargo, se vuelve ineficaz si los daños son incalculables, inverificables o cuando se desconoce la
parte que perjudicó. El robo de identidad y los daños a la privacidad, por ejemplo, a menudo
sufren estas limitaciones; Si bien los tribunales han otorgado legitimación activa a los
demandantes en algunos casos de control de crédito, estos reclamos se desestiman con mayor
frecuencia cuando argumentan un mayor riesgo potencial de robo de identidad o temor a daños
futuros.29Sin embargo, un régimen de responsabilidad tiene la ventaja de permitir que las
empresas gestionen su aseguramiento de la información (generalmente, cualquier medida de
prevención) por su cuenta, de la manera que les resulte más eficiente. Cuando asumen
adecuadamente el costo de sus acciones, naturalmente buscarán formas de reducir el costo total
de cualquier comportamiento dañino.30
Como resultado de pérdidas derivadas de violaciones de datos, la mayoría de los estados de los
Estados Unidos (así como otros países) han promulgado leyes que exigen que las organizaciones
notifiquen a las personas cuando se pierde o se roba información de identificación personal. Un
objetivo principal de las leyes es empoderar a los consumidores para que tomen medidas a fin de
mitigar las pérdidas. Un objetivo secundario es obligar a las empresas a internalizar una mayor
parte del costo de una violación de datos, induciéndolas así a aumentar su inversión en medidas
de seguridad.31
El impacto de estas leyes aún no se ha examinado completamente, pero la investigación existente
proporciona conclusiones mixtas; un estudio demostró una mejora en las prácticas de las empresas,
mientras que otro encontró solo una reducción marginal en la tasa de robo de identidad de los
consumidores.32Los críticos argumentan que tales leyes infligen costos innecesarios tanto para las
empresas como para los consumidores si, de hecho, las empresas ya soportan la mayor parte de la
pérdida, o cuando los datos perdidos se recuperan incluso antes de acceder a ellos.33Además, cuando
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:48:44.
96 Sasha Romanosky y Trey Herr
Seguro Cibernético
Desde que se aprobó la primera ley de divulgación de violaciones de datos en 2003, se han
divulgado públicamente miles de violaciones, lo que aumenta los costos para las empresas,
costos contra los cuales prefieren asegurarse (consulte la tabla 6.1 para ver ejemplos de
violaciones de datos corporativos). Lo que siguió es una consecuencia poderosa e
imprevista de impulsar un mercado de seguros cibernéticos.37
Las características definitorias del seguro cibernético son: seguridad interdependiente,
falla correlacionada y asimetría de información. Algunas de estas propiedades son comunes
a todos los mercados de seguros, mientras que otras, y sus efectos combinados, son
exclusivos de los riesgos de los sistemas informáticos en red y los seguros cibernéticos.
Primero, la seguridad interdependiente refleja el grado en que la seguridad de una red
informática se ve afectada por el compromiso de otro sistema (se dice que el sistema
violado impone una externalidad negativa a la víctima). Por ejemplo, la seguridad del
Aeropuerto Nacional Reagan en Washington, DC, puede verse comprometida si el equipaje
del Aeropuerto Internacional de San Francisco no se inspecciona adecuadamente.38Las fallas
correlacionadas son aquellas en las que un solo evento malicioso provoca fallas en una gran
cantidad de sistemas; la pérdida de energía en la compañía de monitoreo de seguridad
como ADT podría comprometer la seguridad de las residencias en los vecindarios
circundantes, por ejemplo. Finalmente, información
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
Número de registros
Año Filtración de datos Comprometido Costo estimado para la empresa
Se puede acceder a todos los hallazgos en el sitio web de la Comisión de Bolsa y Valores de EE. UU. en Compañía
Limaduras. https://www.sec.gov/edgar/searchedgar/companysearch.html.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
Comprender el delito cibernético 97
la asimetría en el contexto de los seguros refleja el conocido riesgo moral y los problemas de
selección adversa; las empresas se comportan de manera más riesgosa cuando están totalmente
protegidas contra pérdidas y las compañías de seguros tienen dificultades para diferenciar entre
clientes de alto y bajo riesgo.
Las pólizas de seguro cibernético generalmente cubren tres categorías de pérdidas:
pérdidas propias, multas y tarifas reglamentarias y responsabilidad de terceros. La
cobertura de primeros incluye pérdidas derivadas de cortes o costos de interrupción
comercial incurridos debido a una violación de datos, violación de privacidad o incidente de
seguridad. Por ejemplo, costos de notificación de incumplimiento, monitoreo de crédito,
relaciones públicas, investigaciones forenses, soporte de centro de llamadas, interrupción
de negocios y, en algunos casos, incluso extorsión. Las multas y tarifas reglamentarias
cubren las sanciones impuestas por agencias estatales o federales (p. ej., por la FTC o la
SEC). La cobertura de responsabilidad civil de terceros incluye acuerdos, juicios y costos de
defensa debido a litigios civiles. Naturalmente, estas políticas también incluyen muchas
exclusiones, como discriminación, actos delictivos o deliberados, infracción de patentes o
violaciones de secretos comerciales,
Los datos recopilados por las compañías de seguros les brindan una ventaja única sobre
cualquier otra entidad, incluso las agencias gubernamentales, cuando se trata de evaluar
los beneficios de los diferentes controles y prácticas de aseguramiento de la información.
Recuerde que las preguntas críticas son: ¿qué controles de seguridad son más efectivos
para reducir el riesgo? ¿Es mejor tener un firewall o un sistema de detección de intrusos?
¿La autenticación de dos factores es realmente mejor que la de un solo factor? Si es así,
¿cuánto y cuánto de descuento en la prima debería disfrutar un titular de póliza? Hasta la
fecha, ninguna empresa u organismo gubernamental ha sido capaz de responder a estas
preguntas básicas, pero fundamentales.
Las compañías de seguros están perfectamente posicionadas porque poseen los datos
necesarios. Usando sus formularios de evaluación de seguridad, pólizas y datos de reclamos,
pueden correlacionar los controles de aseguramiento de la información de una entidad asegurada
con los resultados de pérdidas. Con suficientes datos, el transportista podría ordenar los controles
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
Los impuestos, los subsidios y los empujones son métodos adicionales para inducir un comportamiento
eficiente. A menudo se piensa que los impuestos y los subsidios producen resultados equivalentes, ya sea
que un formulador de políticas grave el mal comportamiento o subsidie el buen comportamiento (y de
esta manera, cada uno se considera una política eficiente). Sin embargo, los impuestos (o cualquier forma
de sanción) serán menos eficientes a medida que aumente el costo de aplicar esas sanciones. Por ejemplo,
se puede simplemente pagar un subsidio a aquellos que
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
98 Sasha Romanosky y Trey Herr
cumplir, mientras que el incumplimiento debe detectarse y hacerse cumplir, lo que puede
resultar costoso. Las sanciones pueden ser preferibles a los subsidios si elamenazade
sancionar es creíble, porque la conducta deseada se logra sin costo alguno.40Algunos
incluso han sugerido una “recompensa reversible” en la que se ofrece un subsidio por el
cumplimiento, pero luego, en caso de incumplimiento, esa misma recompensa se utiliza
para sancionar (quizás a través de un litigio u otra sanción), duplicando así el mecanismo de
incentivos.41
Empujar se ha convertido en una forma muy popular de política pública.42Es una forma de
arquitectura de elección que explota específicamente (en lugar de ignorar) los sesgos cognitivos
humanos para lograr resultados que se cree que son los mejores intereses del individuo. Por
ejemplo, si es más probable que los estudiantes se llenen con los alimentos que se presentan
primero en la fila de la cafetería, simplemente presentar alimentos más saludables antes de los
que engordan debería crear platos más saludables, sin eliminar la elección personal. De hecho, no
hay ninguna razón por la que no se pueda aplicar el empujón al sector privado con el fin de
realizar una inversión adecuada en el aseguramiento de la información; después de todo, las
empresas (y las agencias gubernamentales) están dirigidas por personas.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
Comprender el delito cibernético 99
sus datos personales? Ciertamente, hay muchas circunstancias en las que las personas se
ven perjudicadas por causas ajenas a ellas (p. ej., el robo de la información personal de uno
debido a una violación de datos). Sin embargo, también hay muchas situaciones en las que
las personasestánopodría serfacultado para tomar medidas para proteger sus datos (como
la práctica de hábitos de navegación adecuados, la divulgación adecuada de información
personal, higiene de contraseñas, almacenamiento de registros de datos y portátiles, etc.).
Y, por lo tanto, las discusiones sobre políticas o regulaciones para obligar a las empresas a
aumentar la ciberseguridad también deben equilibrarse con discusiones sobre inducir
consumidorestomar las precauciones de seguridad y privacidad adecuadas.
La segunda preocupación es que el argumento de que las empresas no invierten lo suficiente
asume implícitamente que un mundo donde las empresashizoinvertir adecuadamente
experimentaríaceroviolaciones de datos o incidentes de seguridad. Efectivamente, seguridad
“apropiada”, según ese argumento, implica seguridad “absoluta”. Pero como hemos escuchado
muchas veces, la seguridad perfecta solo se puede lograr con cero utilidad (es decir, una
computadora rota es perfectamente segura pero completamente inútil). Por lo tanto, si
reconocemos que la seguridad perfecta no es práctica ni eficiente y, en cambio, buscamos que
tanto las empresas como los individuos asuman alguna responsabilidad por sus acciones e
invirtamos en un nivel eficiente de precaución (es decir, uno que equilibre los costos incrementales
con los costos incrementales). beneficios), entonces esto describiría un mundo en el que existieron
tanto violaciones de datos como incidentes de seguridad.
El punto es simplemente que la existencia de incidentes de seguridad podría, de hecho,
reflejar un estado de inversión eficiente en seguridad. El hecho de que veamos cierto
volumen de filtraciones de datos o incidentes de seguridad nonecesariamenteimplica que
las empresas (o los individuos) no sonyagastar una cantidad eficiente en seguridad. Si bien
un mayor gasto puede reducir los incidentes de seguridad, ese costo adicional de inversión
puede ser mayor que el beneficio de esa inversión. Si la eficiencia es el objetivo principal,
entonces antes de responder a la pregunta de "cómo ¿Deberíamos animar a las empresas a
invertir más?”. primero debemos preguntar, “debería animamos a las empresas a invertir
más?”
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
Si bien algunos formuladores de políticas pueden aplaudir a las empresas por administrar el
aseguramiento de la información al igual que con cualquier otro tipo de riesgo al que se enfrenten
(producto, empleado, corporativo, etc.), esta acción tiene una consecuencia importante. Es decir,
que al hacer esto, las empresas (pueden y deben) actuar en su mejor interés. Si bien este
comportamiento es apropiado, estas acciones pueden ignorar cualquier daño que causen a los
consumidores. Es decir, cuando las empresas causan daños a otros pero no asumen la carga de
esos costos, actúan de una manera que no es en el mejor interés de la sociedad.
En resumen, el objetivo de un formulador de políticas debe ser optimizar, no minimizar
los incidentes de seguridad. Es decir, debe buscar equilibrar el costo de una medida de
seguridad con su beneficio. Así, la existencia de brechas de datos e incidentes de seguridad
nonecesariamenteimplica que las empresas no están invirtiendo en un nivel eficiente de
seguridad. De hecho, la ausencia de ataques exitosos que conduzcan a una filtración
probablemente implicaría un gasto excesivo. Las personas, como las empresas, son
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
100 Sasha Romanosky y Trey Herr
egoísta; tomamos decisiones para maximizar nuestros rendimientos y, por lo tanto, no debemos esperar
que las empresas hagan lo contrario (o envidiarlas cuando lo hacen). El desafío de obstaculizar el delito
cibernético es encontrar el punto en el que una inversión razonable en seguridad produzca rendimientos
apreciables, y las técnicas efectivas de aseguramiento de la información puedan actuar para disuadir a la
mayoría de los atacantes y prevenir incidentes catastróficos.
CONCLUSIÓN
Definición de delitos cibernéticos.El delito cibernético cubre una amplia gama de actividades
que incluyen robo, fraude y acoso; robar propiedad intelectual valiosa como parte del
espionaje industrial; cometer fraude financiero y robo de tarjetas de crédito; e interrumpir los
servicios de Internet por objetivos ideológicos ("hacktivismo"). Los delitos tienen como objetivo
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
tanto a las empresas como a los consumidores, y aunque rara vez resultan en daños físicos o
daños a la propiedad, aún pueden tener consecuencias graves.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
Comprender el delito cibernético 101
NOTAS
1. Sin embargo, en algunos casos de ciberacoso y acoso en línea, los resultados pueden
ser trágico “The Top 6 Unforgettable Cyberbullying Cases |NoBullying|,” NoBullying Bullying
CyberBullying Resources, 23 de abril de 2013, consultado el 2 de marzo de 2016, http://
nobullying.com/six-unforgettable-cyber-bullying-cases/.
2. Dan Goodin, "Contratista de TI atrapado robando información de empleados de Shell Oil"
The Register, 7 de octubre de 2008, consultado el 2 de marzo de 2016, http://www.theregister.
co.uk/2008/10/07/shell_oil_database_breach/; Robert McMillan, "La violación de datos de United
Healthcare conduce al robo de identidad",Mundo de la informática, http://www.computerworld.
com/article/2535131/security0/unitedhealthcare-data-breach-leads-to-id-theft-at-ucirvine.html;
Mary Hogan, “Arrestos realizados en caso de robo de identidad”,Las noticias de Sealy, 23 de
septiembre de 2008, consultado el 3 de marzo de 2016, http://www.sealynews.com/news/
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
article_8fb9ad7b-6776-5251-ab26-b0863106007f.html.
3. Synovate, “Comisión Federal de Comercio-Encuesta sobre robo de identidad de 2006
Informe,"Diccionario químico condensado de Hawley, 15 de noviembre de 2007, consultado el 2 de
marzo de 2016, doi:10.1002/9780470114735.hawley07141; Katrina Baum, “Identity Theft, 2004”,
abril de 2006, Oficina de Estadísticas de Justicia.
4. Por ejemplo, Target ha incurrido en $252 millones en costos debido a sus datos
incumplimiento. Kevin M. McGinty, “Etiqueta de precio de filtración de datos objetivo: $252 millones y
contando | Cuestiones de privacidad y seguridad”,Asuntos de seguridad de privacidad, 26 de febrero de
2015, consultado el 2 de marzo de 2016, http://www.privacyandsecuritymatters.com/2015/02/target-data-
breach-price-tag-252-million-and-counting/.
5. Ross Anderson y Tyler Moore, “La economía de la seguridad de la información:
Una encuesta y preguntas abiertas”,Laboratorio de Computación de la Universidad de Cambridge,
consultado el 2 de marzo de 2016, http://www.cl.cam.ac.uk/~rja14/Papers/toulouse-summary. pdf.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
102 Sasha Romanosky y Trey Herr
14. Brian Krebs, "Mira dentro de una tienda de cardado profesional"Krebs sobre la seguridad
RSS, 4 de junio de 2014, http://krebsonsecurity.com/2014/06/peek-inside-a-professionalcarding-
shop/.
15. Vaibhav Garb, Sadia Afroz, Rebekah Overdorf y Rachel Greenstadt, “Trabajo
cooperativo asistido por computadora”SpringerReferencia, consultado el 3 de marzo de
2016, doi:10.1007/springerreference_61822.
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
16. Para obtener más información, consulte el capítulo 7: “Alteración de los mercados de malware”.
17. Thomas J. Holt, “The Market for Malware”, Speech, Def Con 15, Riviera Hotel and
Casino, Las Vegas, 4 de agosto de 2007, consultado el 4 de marzo de 2016. https://
www.defcon. org/images/defcon-15/dc15-presentations/dc-15-holt.pdf.
18. Raymond Hil, “El crimen informático es más ingenioso de lo que piensas”Dinámica
Suroeste, consultado el 2 de marzo de 2016, http://www.dynamicssouthwest.com/
computer-crime-is-slicker-than-you-think/.
19. Candid Wueest, "Mercado negro clandestino: comercio próspero de datos robados,
malware y servicios de ataque"Symantec, 20 de noviembre de 2015, consultado el 2 de
marzo de 2016. http://www.symantec.com/connect/blogs/underground-blackmarket-
thriving-trade-stolen-data-malware-and-attack-services.
20. Thomas J. Holt, “The Market for Malware”, Speech, Def Con 15, Riviera Hotel and
Casino, Las Vegas, 4 de agosto de 2007, consultado el 4 de marzo de 2016, https://
www.defcon. org/images/defcon-15/dc15-presentations/dc-15-holt.pdf.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
Comprender el delito cibernético 103
21. Brian Krebs, “La rivalidad entre SpyEye y ZeuS”Krebs sobre la seguridadrss, abril
10 de 2015, consultado el 2 de marzo de 2016, http://krebsonsecurity.com/2010/04/spyeye-vszeus-
rivalry/.
22. Sean Martin, “La creación de un mercado de ciberdelincuencia”OSC,11 de agosto de 2014,
consultado el 2 de marzo de 2016, http://www.csoonline.com/article/2463175/data-protection/the-
making-of-a-cybercrime-market.html.
23. Brian Krebs, "Revisando la fusión SpyEye/ZeuS",Krebs sobre la seguridadRSS, 11 de
febrero de 2011, consultado el 2 de marzo de 2016, http://krebsonsecurity.com/2011/02/
revisiting-the-spyeyezeus-merger/.
24. Elinor Mills, "Preguntas y respuestas: agente del FBI mira hacia atrás en el tiempo haciéndose pasar
por un cibercriminal"CNET, 29 de junio de 2009, consultado el 2 de marzo de 2016, http://www.cnet.com/
news/qa-fbi-agent-looks-back-on-time-posing-as-a-cybercriminal/.
25. Para obtener más información, consulte el capítulo 8—“La Ley de Abuso y Fraude Informático:
Estructura, Controversias y Propuestas de Reforma”.
26. “18 USC §§ 1030(a)(1), (a)(2), & (a)(4),” LII/Legal Information Institute, consultado
el 2 de marzo de 2016, https://www.law .cornell.edu/uscode/text/18/1030; “18 USC §§
1030(a)(3),” LII/Legal Information Institute, consultado el 3 de marzo de 2016, https://
www.law.cornell.edu/uscode/text/18/1030; “18 USC §§ 1030(a)(5)(B) & (a) (5)(C)”, LII/
Legal Information Institute, consultado el 3 de marzo de 2016, https://www.law.
cornell.edu/uscode/text/18/1030.
27. Alden Anderson, “La Ley de Abuso y Fraude Informático: Hackeando el Debate
de la Autorización,”Diario de JurimetríaVolumen 53 (verano de 2013), 447–66, http://
www.americanbar.org/content/dam/aba/publications/Jurimetrics/summer2013/
anderson.authcheckdam.pdf.
28. Ver en general, William Landes y Richard Posner,La estructura económica de la ley de
daños(Cambridge: Harvard University Press, 1987); Steven Shavell, “Economía y
Responsabilidad por Accidentes”,Nuevo Diccionario Palgrave de Economía, 2ª edición
(Macmillan, 2008); Charles Kolstad, Thomas Ulen y Gary Johnson, “Responsabilidad ex post
por daños frente a regulación de seguridad ex ante: ¿sustitutos o complementos?” Revisión
económica estadounidense80, edición. 4, septiembre de 1990, 888–901.
29. Sasha Romanosky, David Hoffman y Alessandro Acquisti, “Análisis empírico de
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
los litigios por violación de datos”Revista de estudios jurídicos empíricos11, 2014, 74–
104. doi: 10.1111/jels.12035.
30. Véase Romanosky et al. (2009) para una discusión completa de cómo estas intervenciones se han
aplicado a las violaciones de la información personal del consumidor.
31. Deborah Majoras, declaración ante el Comité de Comercio, Ciencia y
Transporte, 16 de junio de 2005.
32. Clínica de Leyes, Tecnología y Políticas Públicas de Samuelson, “Security Breach
Notification Laws: Views from Chief Security Officers”, diciembre de 2007, https://
www.law.berkeley.edu/files/cso_study.pdf; Sasha Romanosky, Rahul Telang y Alessandro
Acquisti, "¿Reducen las leyes de divulgación de violación de datos el robo de identidad?"
Revista de análisis y gestión de políticasVolumen 30, edición. 2, 2011, 256–86. http://
papers.ssrn.com/sol3/papers.cfm?abstract_id=1268926.
33. Thomas Lenard y Paul Rubin, "Reduzca la velocidad en la legislación de seguridad de datos"
Instantánea de progreso1.9, agosto de 2005, https://www.techpolicyinstitute.org/files/ps1.9.pdf.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
104 Sasha Romanosky y Trey Herr
34. Ibíd.
35. Sasha Romanosky y Alessandro Acquisti, “Costos de privacidad y protección de datos
personales: perspectivas económicas y legales de la regulación ex ante, responsabilidad ex
post y divulgación de información”Revista de derecho tecnológico de Berkeley24, edición. 3
(2011), http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1522605.
36. Para obtener más información, consulte el capítulo 9: “Leyes de notificación de incumplimiento: la política y la práctica”.
37. Una versión de este capítulo apareció en Sasha Romanosky, Comments to the
Department of Commerce, 26 de abril de 2013, http://www.ntia.doc.gov/files/ntia/
romanosky_comments.pdf.
38. Geoffrey Heal y Howard Kunreuther,Activos y pasivos ambientales: manejo de
riesgos catastróficos,Documento técnico n. 2008-11-06, noviembre de 2008, http://
opim.wharton.upenn.edu/risk/library/WP2008-11-06_GH,HK_EnvAssets.pdf.
39. Para obtener más información, consulte el capítulo 10: “Ciberseguro: un enfoque basado en el mercado
para la garantía de la información”.
40. Donald A. Wittman, “¿Responsabilidad por daños o restitución de beneficios?”La
revista de estudios jurídicos13, edición. 1 (1984), 57.
41. Omri Ben-Shahar y Anu Bradford, “Recompensas reversibles,”Revista estadounidense
de derecho y economía15 (2013), 156.
42. Robert Sugden, "Sobre empujones: mejorar las decisiones sobre la salud, la
riqueza y la felicidad por Richard H. Thaler y Cass R. Sunstein"Revista Internacional de
Economía de la Empresa16, edición. 3 (2009), http://www.tandfonline.com/doi/abs/
10.1080/13571510903227064.
Copyright © 2016. Rowman & Littlefield Publishers. Todos los derechos reservados.
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.
Capítulo 7
información personal, extorsionar a los usuarios y cometer delitos cibernéticos de todo tipo.
Por ejemplo, Carberp, un paquete de software malicioso utilizado para atacar bancos y
credenciales de cuentas financieras, se alquila a los usuarios y se combina con otros
servicios para atacar organizaciones específicas. El mercado criminal descrito en el capítulo
6 es un mecanismo para obtener valor de los bienes robados, así como para comprar estas
herramientas. Este mercado es importante porque es un medio para transferir capacidades
entre grupos y puede permitir nuevos ataques, así como la propagación de exploits. Este
capítulo cubre la gama completa de compradores potenciales, pero enfatiza los grupos no
estatales.
Describir el mercado de malware es un proceso de explicar quién participa en la compra
y venta de estas herramientas y cómo se realizan estas transacciones. Usando esta
estructura como punto de partida para identificar oportunidades de interrupción, esta
discusión del mercado de malware se convierte en un ejercicio de mapeo para identificar
105
Cyber Insecurity: Navegando los peligros de la próxima era de la información, editado por Richard Harrison y Trey Herr, Rowman &
Littlefield Publishers, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/bibliouniminuto-ebooks/detail.action?docID=4742078.
leído de bibliouniminuto-ebooks el 2023-01-14 01:51:33.