Después de años de conjeturas e incontables intentos de cuantificar los efectos económicos de la ciberdelincuencia en las economías de los Estados Unidos y del resto del mundo, McAfee contrató los servicios de una de las instituciones de políticas internacionales más sobresalientes del mundo en defensa y seguridad, el Centro de estudios estratégicos e internacionales (CSIS), para desarrollar un modelo económico con una metodología para calcular en forma exacta estas pérdidas, que se pueden extender a todo el mundo.
El informe, titulado “El cálculo del costo de la ciberdelincuencia y el espionaje cibernético”, postula una pérdida anual de 100.000 millones de dólares para la economía de los Estados Unidos y hasta 508.000 empleos en los Estados Unidos como resultado de la actividad cibernética malintencionada.
Para poder medir la pérdida real ocasionada por los ciberataques, CSIS reclutó a economistas, expertos en propiedad intelectual e investigadores de seguridad para desarrollar el informe. El intervalo generalmente aceptado para el impacto de la ciberdelincuencia era de 100.000 millones y 500.000 millones de dólares en la economía mundial.
Los investigadores emplearon analogías del mundo real, tales como cifras para accidentes de tránsito, piratería, hurto, delincuencia y drogas para construir el modelo. Hicieron notar la dificultad del uso de métodos como encuestas, ya que las empresas que dan a conocer sus pérdidas cibernéticas frecuentemente no están en condiciones de calcular qué es lo que se perdió, porque las pérdidas en propiedad intelectual son difíciles de cuantificar, y porque el proceso de auto selección de las encuestas puede distorsionar los resultados.
Para fines de este estudio, CSIS clasificó la actividad cibernética malintencionada en seis grupos:
- Pérdida de propiedad intelectual
- Ciberdelincuencia
- Pérdida de información comercial importante, con la posible manipulación del mercado de valores
- Costos de oportunidad, como interrupción de servicios y menor confianza en las actividades en línea
- Costo adicional en protección de redes, seguros y recuperación de los ataques cibernéticos
- Daño en la reputación de la empresa atacada
“Creemos que el informe de CSIS es el primero en utilizar un modelo económico real para expresar las cifras de las pérdidas que se pueden atribuir a la actividad cibernética”, indicó Mike Fey, vicepresidente ejecutivo y director tecnológico de McAfee. “Hay otros enfoques informales que se usan hace años, pero no existía ningún estudio riguroso. A medida que los legisladores, líderes de empresas y otros actores interesados se esfuerzan por entender por qué la seguridad cibernética es importante, requieren de información sólida en la que puedan hacer descansar sus acciones”.
El costo de la actividad cibernética malintencionada implica más que sólo la pérdida de activos financieros y propiedad intelectual. También están los costos de oportunidad, el daño a la imagen y la reputación, las pérdidas de los consumidores por fraudes, los costos de oportunidad por la interrupción de los servicios que se deben “limpiar” después de los incidentes cibernéticos, y los costos por el mayor gasto en seguridad cibernética. Cada una de estas categorías se debe enfrentar meticulosamente, pero en conjunto, para poder medir el costo para las sociedades.
“Este informe también es el primero que conecta la actividad cibernética malintencionada con la pérdida de empleos”, señaló James Lewis, director y uno de los investigadores principales del Programa de tecnologías y políticas públicas de CSIS y coautor del informe. “Al emplear las cifras del Departamento de Comercio sobre la relación entre las exportaciones y los empleos en los Estados Unidos, llegamos a un cálculo aproximado de 508.000 empleos que se pierden potencialmente debido al espionaje cibernético, por lo alto. Sin embargo, al igual que con las otras aproximaciones del informe, las cifras en bruto podrían ser sólo parte de la realidad. Si una proporción importante de estos empleos fueran empleos de alta calificación que se trasladan al extranjero debido a pérdidas de propiedad intelectual, los efectos podrían ser más significativos”.
Este es el primer paso que toma CSIS para entender mejor el costo real de la ciberdelincuencia.Este primer informe desarrolla un modelo para evaluar las pérdidas directas de la ciberdelincuencia y del espionaje cibernético.
Un segundo informe, que está en preparación, analizará las ramificaciones de las pérdidas de la seguridad cibernética en la velocidad de innovación, el flujo del comercio y los costos sociales asociados a la delincuencia y la pérdida de empleos.
Lewis y el coautor Stewart Baker de Steptoe & Johnson LLP precisan que por muy meticuloso que sea el desarrollo de sus cálculos, la cifra en dólares podría no reflejar plenamente todos los efectos nocivos del espionaje cibernético y la ciberdelincuencia en la economía mundial. Ambas actividades, de acuerdo al informe, ponen freno a la velocidad de innovación, distorsionan el comercio y desencadenan una serie de costos sociales asociados con la delincuencia y la pérdida de empleos.
Lewis y Baker afirman que el efecto más amplio podría ser más importante que cualquier cifra en sí, lo que será el tema central del siguiente informe.
Fotografía: Andrey Popov © / Shutterstock.com