El Centro de Estudios Estratégicos e Internacionales (CSIS) ha publicado un reciente informe en el que analiza el impacto económico del cibercrimen y el ciberespionaje en Estados Unidos y a nivel mundial, estimando que dichas actuaciones pueden suponer una pérdida anual en la economía estadounidense de 100.000 millones de dólares y 508.000 empleos mientras que a nivel mundial, las pérdidas podrían alcanzar hasta los 400.000 millones de dólares.
Para elaborar dicho informe el CSIS contó con economistas, investigadores de seguridad y expertos en propiedad intelectual quienes, dada la dificultad para calcular este tipo de daños, emplearon analogías del mundo real tales como accidentes de tráfico, la piratería, las drogas, el hurto y la delincuencia donde los costes ya han sido cuantificados.
Resulta relevante, para poder valorar el informe qué es lo que el CSIS ha tenido en cuenta para estimar las pérdidas procedentes del cibercrimen y el ciberespionaje:
- Pérdida de propiedad intelectual.
- Cibercrimen.
- La pérdida de de información sensible de negocio.
- Costes de oportunidad, incluyendo interrupciones del servicio y la reducción de la confianza en las actividades online.
- Los costes adicionales en seguridad para la protección de las redes, seguros y aquellos necesarios para recuperarse de los ataques cibernéticos.
- Daño en la reputación de la empresa que ha sido atacada.
Teniendo en cuenta que como es evidente, la ciberdelincuencia no generaba coste alguno hace 15 años, su rápido crecimiento es un hecho.
Sin embargo, los ciberataques podrían ser en buena medida evitados por parte de los proveedores de servicios de Internet, así lo ha reflejado un reciente estudio elaborado por la agencia europea encargada de la seguridad de las redes y de la información de la Unión Europea (ENISA), en el que analiza el reciente ciberataque de gran envergadura contra la organización sin ánimo de lucro Spamhaus, que provocó retrasos significativos en la mayor parte de usuarios de internet del Reino Unido, Alemania y otras partes de Europa Occidental. En concreto, se trató de un ataque de denegación de servicio distribuido (DDoS), que no es precisamente nuevo y que consiste en provocar la caída de una página web mediante una avalancha de tráfico.
En dicho informe, ENISA afirma que los proveedores de servicios deberían implementar el conjunto de recomendaciones denominado BCP38, disponible desde hace casi 13 años, ya que si hubieran sido implementadas estas recomendaciones podrían haberse bloqueado dichos ataques así mismo, los operadores de servidores DNS deberían implementar las recomendaciones BCP140 ya que su implementación hubiera reducido el número de servidores usados de forma indebida y por último, según señala el informe, los operadores de puntos de intercambio de internet deberían considerar que sus infraestructuras pueden ser atacadas directamente y asegurarse de que han adoptado las correspondientes medidas de seguridad.
Y es que la cuestión no es baladí ya que según señala la propia ENISA, los ataques crecen en tamaño ya que mientras que el mayor ataque DDoS conocido públicamente en 2012 había sido de alrededor 100 Gigabits de datos por segundo, el ataque producido en marzo de 2013 contra Spamhaus alcanzó un tamaño de 300 Gigabits por segundo.
