Beruflich Dokumente
Kultur Dokumente
Economics of Vulnerabilities
Las vulnerabilidades como tal no tienen una importancia económica incluso aunque el
daño que pueden provocar sea mayor, su importancia toma sentido hasta la
materialización de una amenaza, ya que al ejecutarse esta, es cuando es posible visualizar
el daño económico que se puede causar sobre el sistema y o activo atacado y a partir de
este momento la vulnerabilidad comienza tener valor en dos sentidos, por un lado el
derivado de las pérdidas económicas que se generan dentro de la organizaciones víctimas
del ataque y por otro lado el movimiento económico que se genera para la contención y/o
erradicación de la amenaza aunado a la corrección de la vulnerabilidad.
Los costos para atender la situación generada por las vulnerabilidades se pueden catalogar
como costos por los usuarios, los desarrolladores y los administradores.
Los desarrolladores, al tener la elección de verificar desde el desarrollo del producto si
aplicar o no metodologías de seguridad, lo cual implica costos por uso de recurso, más
tiempo para liberaciones y en algunos casos personal capacitado en seguridad. O bien por
no hacerlo y disminuir costos para la entrega del producto.
Los administradores al tener opción de aplicar las correcciones ofrecidas en el mercado lo
cual implicará en la mayoría de los casos costos por adquisición e implementación y en el
caso de no hacerlo se tiene el riego de ser atacado y asumir los costos para erradicación y
por los tiempos fuera de línea, lo mismo sucede con el usuario pero a nivel casero al tener
la opción de comprar una suite de seguridad lo cual le origina un gasto o asumir el riego al
no comprar la suite pero tener que enfrentar los costos por la pérdida de su información.
Los grandes corporativos manipulan con estas variables que por cualquiera de las aristas
les llevan ganancias económicas, debido a las vulnerabilidades con lo que se conoce como
mercado de las vulnerabilidades.
En el desarrollo de sus productos ponen poco empeño en la seguridad, saben que al estar
posicionados en el mercado su producto se venderá de cualquier manera y ahorran tiempo
y costos al no contratar personal especializado, práctica común es ofrecer premios al
público en general por descubrir vulnerabilidades y dar solución, con esto aseguran que
sus errores serán corregidos sin tener que invertir ellos desde el inicio y el premio que dan
económico es una cifra ínfima a la que tuviesen que haber invertido durante el desarrollo
del producto, incentivan al público a resolverles sus problemas de seguridad, con estas
acciones además de ahorrarse dinero hacen que su producto se vuelva seguro a bajos
costos y no solo esos ahora tienen los parches necesarios para que su producto sea más
seguro y pueden implementarlo en una nueva versión ofreciendo al mercado más
seguridad ( que no les costó) y obteniendo ganancias por la venta nuevo producto,
rebasando por mucho lo destinado a los premios de quienes descubrieron y corrigieron las
amenazas.
Con esta descripción se visualiza el alcance del mercado de las vulnerabilidades y porque
en muchos casos las empresas que llegan ser monopolios prefieren no atacarlas
directamente desde su inicio. Esto es por lo que actualmente existen oportunidades para
las TICs en el mercado de la economía de las vulnerabilidades.
La vulnerabilidad “Heartbleed1
El caso del Heartbleed, en 2014 expuso al mundo de la informática y comercial la
imperiosa necesidad de aplicar y fomentar el desarrollo de software seguro al exponer una
vulnerabilidad de open SSL, la cual permitía accesar a la memoria de los activos
comprometidos. Siendo esta la biblioteca de cifrado más usada en el internet y que
permitía al entrar a la memoria, teniendo acceso a usuarios y contraseñas.
1
Artículo publicado por el portal de Kasperky Labs, consultado en Diciembre 8,2018.
(https://www.kaspersky.es/blog/vulnerabilidad-heartbleed/3104/)
2
Artículo publicado por el portal welivesecuirty de ESET, consultado en Diciembre 7,2018.
https://www.welivesecurity.com/la-es/2017/03/22/economia-de-la-ciberseguridad/
El tema del mercado de las vulnerabilidades y su economía es bien conocido por todo el
mercado de la informática especialmente de las áreas de seguridad, aprovechado incluso el
tópico por las grandes empresas, que son quienes más hacen uso de este mercado para
abusar del usuario en un modo muy legal ya que para este tipo de acciones aún no hay
algún control o regulación que les impida maniobrar.
Información y culturización sobre informática y temas de seguridad hacen falta en la
comunidad para no caer en juegos comerciales y dejarnos convencer por los miedos
tecnológicos que generan para vender sus productos y actualizaciones o acudir a las falsas
cazas de vulnerabilidades, para ahorrarles el trabajo a costos muy inferiores a un
desarrollo de parches para vulnerabilidades del software y que después será incluido en
futuras versiones de sus aplicativos argumentando poseen mayor seguridad que su
predecesor, haciendo comprar al usuario las nuevas versiones para que sientan más
seguros y entonces comienza nuevamente el ciclo del mercado y es que no hay
impedimento para detenerles por el momento, ya que es el usuario final quien termina
aceptando de manera consiente los términos de compra de los productos que de manera
oculta encierren un oscuro mercado de abusos aprovechando del riesgo de las
vulnerabilidades, que hacen crecer día a día este mercado de las vulnerabilidades.
4
Artículo publicado por el portal welivesecuirty de ESET, consultado en Diciembre 8,2018.
https://www.welivesecurity.com/wp-content/uploads/2016/04/eset-security-report-latam-2016.pdf