Resumen del informe Pérdidas netas: estimación del costo global de la ciberdelincuencia Impacto económico de la ciberdelincuencia II Resumen ejecutivo La industria de la ciberdelincuencia está en pleno desarrollo; los beneficios que reporta son excelentes y los riesgos que se corren, mínimos. Según nuestros cálculos, el costo anual de la ciberdelincuencia en la economía global supera los 445 000 millones de dólares, cifra que incluye tanto las ganancias de los delincuentes como los costos que suponen a las empresas la recuperación y la defensa. Las estimaciones más conservadoras evalúan las pérdidas en 375 000 millones y, según otras fuentes, podrían alcanzar los 575 000 millones. Esta cifra es superior a la renta nacional de la mayoría de los países y es equivalente a entre el 0,5 y el 0,8 % de la renta mundial. El objetivo de este informe es poner en cifras el costo de la ciberdelincuencia y el ciberespionaje, sin embargo, lo esencial es que este dato pone de relieve el perjuicio que causa a las víctimas el efecto acumulado de las pérdidas en el ciberespacio. La ciberdelincuencia afecta a cientos de millones de personas que sufren el robo de su información personal. Un estudio mantiene que en total se habrían robado más de 800 millones de registros individuales en 2013. Solo esto equivaldría a 160 000 millones de dólares al año. Las empresas denuncian constantemente ataques de hackers, lo que contribuye a que se extienda la sensación de que la ciberdelincuencia está fuera de control. Sin embargo, el factor más importante para determinar el costo de la ciberdelincuencia es el daño que causa a los resultados de las empresas y a las economías nacionales. Nuestras estimaciones se basan en datos que tienen en cuenta la pérdida de propiedad intelectual, el robo de activos financieros e información confidencial de la empresa, los costos de oportunidad, otros costos adicionales de protección de redes, así como el costo de recuperación de los ciberataques, que incluye los daños sufridos por la reputación de la empresa. Nuestras fuentes incluyen datos publicados, entrevistas, y cálculos realizados por empresas y agencias oficiales en todo el mundo. Hemos hallado cientos de denuncias de empresas que han sufrido ataques de hackers. En Estados Unidos, por ejemplo, 3000 empresas han comunicado un ataque en 2013. En el Golfo Pérsico, dos bancos perdieron 45 millones de dólares. Una compañía británica informó de pérdidas de 1300 millones de dólares. Según los bancos brasileños, los clientes pierden millones cada año. El CERT de India informó de que, entre 2011 y junio de 2013, 308 371 sitios web fueron víctimas de los hackers. Solo las pérdidas de los incidentes conocidos ya suman miles de millones de dólares, y eso sin contar los episodios que han pasado inadvertidos y no pueden engrosar la lista. Dado el número de incidentes, sorprende que muchos países dediquen poco, o ningún, esfuerzo a evaluar de manera oficial las pérdidas que genera la ciberdelincuencia, incluso en el caso de los países más grandes y desarrollados, y, especialmente, en los de menor tamaño y renta más reducida. Obviamente, esta circunstancia incide en la capacidad para estimar las pérdidas con precisión. El grueso de estas pérdidas recae en los países del G20. Las pérdidas debidas a la ciberdelincuencia en las cuatro mayores economías del mundo (Estados Unidos, China, Japón y Alemania) alcanzaron los 200 000 millones. En los países con rentas bajas, las pérdidas son menores, pero esto cambiará cuando se extienda en ellos el uso de Internet y los ciberdelincuentes comiencen a atacar las plataformas móviles. En los países desarrollados, la ciberdelincuencia afecta enormemente al empleo, ya que lo aleja de los puestos que crean más valor añadido. Nuestro primer informe indicaba que las pérdidas a causa de la ciberdelincuencia podían traducirse en la pérdida de más de 200 000 puestos de trabajo en Estados Unidos. Con datos de la Unión Europea, calculamos que Europa podría perder hasta 150 000 puestos de trabajo como resultado de la ciberdelincuencia. Si bien no es fácil traducir los efectos de la ciberdelincuencia en número de puestos de trabajo perdidos, no se pueden ignorar las consecuencias que este fenómeno tiene en el empleo. 2 Pérdidas netas: estimación del costo global de la ciberdelincuencia Las pérdidas por ciberdelincuencia de las cuatro mayores economías del mundo (Estados Unidos, China, Japón y Alemania) alcanzaron los 200 000 millones. En los países con rentas bajas, las pérdidas son menores, pero esto cambiará cuando aumente en ellos el uso de Internet y los ciberdelincuentes comiencen a atacar sus plataformas móviles. Robo de propiedad intelectual y freno a la innovación Las pérdidas en términos de propiedad intelectual que provoca la ciberdelincuencia son las más difíciles de cuantificar, sin embargo, también son la variable más importante para determinar los daños globales. Los robos de propiedad intelectual alteran las balanzas comerciales y afectan al empleo a nivel nacional. Los países en los que la creación de propiedad intelectual es más relevante o en los que los sectores muy ligados a la propiedad intelectual tienen gran peso en la economía son los más afectados por las pérdidas comerciales, de puestos de trabajo y de ingresos derivadas de la ciberdelincuencia. El efecto que tiene el ciberespionaje sobre la seguridad nacional es significativo y el valor monetario de la tecnología militar empleada no refleja el costo total que deben asumir los países víctimas. La ciberdelincuencia es un lastre para la innovación. Otra forma de dilucidar el costo de la ciberdelincuencia sería plantearnos cómo actuarían los inversores si se duplicara la rentabilidad de la innovación. Lógicamente, las empresas invertirían más y se incrementaría la tasa global de innovación. Al mermar la rentabilidad de la propiedad intelectual, la ciberdelincuencia desincentiva de manera invisible la innovación. Delincuencia financiera libre de riesgos Cuando los hackers se apoderan de la información de las tarjetas de crédito de millones de personas, este hecho recibe atención inmediata. Los delitos financieros suelen implicar un engaño, sin embargo, el fraude se puede llevar a cabo de distintas formas, según se dirija contra consumidores, bancos u organismos públicos. En los delitos financieros más devastadores, los hackers penetran en las redes bancarias, y obtienen acceso a las cuentas para transferir fondos. Estos sofisticados atracos en los que se roban millones de dólares a los bancos son un fenómeno global. Los comercios minoristas son uno de los objetivos favoritos de los ciberdelincuentes. En 2013, se unieron a la lista en la que se encontraban TJ Maxx o Sony, entre otros, una serie de ataques que provocaron serias pérdidas. Las pérdidas comunicadas por los minoristas en el Reino Unido ascendieron a 850 millones de dólares en 2013. En Australia se han producido ataques a gran escala contra comercios, cadenas hoteleras y empresas de servicios financieros, con pérdidas que superan, de media, los 100 millones de dólares por empresa. Aunque es difícil rentabilizar la información de identificación personal y los datos de tarjetas de crédito robados, los ciberdelincuentes están mejorando sus tácticas. Además, el riesgo de sanciones para los hackers es mínimo, por lo que probablemente este tipo de ciberdelincuencia aumentará. Información confidencial de las empresas y manipulación de los mercados El robo de información confidencial de una empresa —información de inversiones, datos de investigaciones y negociaciones comerciales secretas— puede rendir ganancias inmediatas. Los daños a empresas individuales ascienden a millones de dólares. Una empresa británica informó a las autoridades de pérdidas de 1300 millones de dólares debido a una fuga de propiedad intelectual que le ha supuesto una desventaja en su posición frente a la competencia. Las actividades de los hackers en bancos centrales y ministerios de finanzas pueden reportarles información económica de gran valor para averiguar las tendencias de los mercados o los tipos de interés. La ciberdelincuencia prolifera en el área de los mercados bursátiles. Si consiguen introducirse en las redes de una empresa o de sus abogados o contables, los ciberdelincuentes pueden hacerse con información privilegiada sobre planes de fusiones y adquisiciones, informes de resultados trimestrales u otros datos que afecten a la cotización en bolsa de la empresa. Además, sería muy difícil detectar a los ciberdelincuentes que aprovechen esta información para operar en el mercado de valores. Por ejemplo, las autoridades de regulación financiera de Turquía descubrieron una actividad sospechosa que tenía como objetivo llevar a cabo operaciones especulativas y de manipulación del mercado. En el caso de los ciberdelincuentes de más alto nivel, no hay que descartar que sus actividades principales den paso a una manipulación financiera que será extremadamente difícil de detectar. Costo de oportunidad El costo de oportunidad es el valor de las actividades descartadas. Hay tres tipos de costos de oportunidad que determinan las pérdidas derivadas de la ciberdelincuencia: una reducción de la inversión en investigación y desarrollo (I+D), un comportamiento reticente al riesgo por parte de empresas y consumidores, y un aumento del gasto en seguridad de la red. Para las empresas, el mayor costo de oportunidad procede del dinero invertido en proteger sus redes. Aunque las empresas seguirán dedicando recursos a la seguridad, a pesar de la gran reducción del riesgo en el entorno digital, la omnipresente ciberdelincuencia les condena a pagar una "prima de riesgo". 3 Pérdidas netas: estimación del costo global de la ciberdelincuencia Otra perspectiva para evaluar el costo de oportunidad de la ciberdelincuencia sería considerar la pérdida como una parte inherente de la economía de Internet. Según algunos estudios, la economía de Internet genera al año en el mundo entre 2000 y 3000 billones de dólares, y se espera que esta cifra crezca rápidamente. Nuestras estimaciones sugieren que la ciberdelincuencia equivale a entre el 15 y el 20 % del valor creado por Internet, lo que supone un gravoso impuesto sobre el potencial de crecimiento económico y sobre la creación de empleo. Costos de recuperación Reparar las consecuencias de la ciberdelincuencia es caro. El costo de la recuperación tras sufrir un ciberfraude o una filtración de datos para las empresas individuales está aumentando. Además, aunque es cierto que los ciberdelincuentes no podrán rentabilizar la totalidad de la información que roben, esto no cambia el gasto en el que incurrirá la víctima, es decir, el costo total de la recuperación es superior a las ganancias que obtendrán los ciberdelincuentes. Un estudio acerca del costo de la ciberdelincuencia en Italia descubrió que mientras que las pérdidas reales solo llegaban a 875 millones de dólares, los gastos en recuperación y los costos de oportunidad alcanzaron los 8500 millones. Para la sociedad, las consecuencias reales pasan por pagar la factura de la recuperación y para la empresa, incluyen los daños a la imagen de marca y otras pérdidas relacionadas con la reputación, así como el deterioro (o la pérdida) de las relaciones con los clientes. Incentivos y crecimiento continuado Los incentivos para los ciberdelincuentes son evidentes. La ciberdelincuencia genera grandes ganancias con un riesgo mínimo y a un costo (relativamente) bajo para los hackers. Sin embargo, en el caso de los defensores ocurre justo lo contrario. Las empresas e individuos toman decisiones sobre cómo gestionar las posibles pérdidas derivadas de la ciberdelincuencia en función de los riesgos que están dispuestos a aceptar y el dinero que están dispuestos a gastar para mitigar dichos riesgos. El problema es que si las empresas no son conscientes de sus pérdidas o menosprecian su vulnerabilidad, entonces subestiman los riesgos. A medida que aumentan las actividades empresariales que se realizan online, se incrementa el número de consumidores que se conectan a Internet en todo el mundo y proliferan los dispositivos autónomos conectados a la Red, crecen las oportunidades para cometer ciberdelitos. Las pérdidas a causa del robo de propiedad intelectual repuntarán si los países que la adquieren mejoran su capacidad para utilizar dicha información para fabricar sus propios productos. La ciberdelincuencia constituye un impuesto sobre la innovación y retrasa el ritmo de la innovación en el mundo, ya que reduce la tasa de rendimiento para innovadores e inversores. Es indispensable que los gobiernos inicien un esfuerzo serio y sistemático para recopilar y publicar datos sobre la ciberdelincuencia, con el fin de ayudar a países y empresas a tomar las decisiones correctas sobre riesgos y estrategias. Si no se implementan los cambios necesarios, la ciberdelincuencia solo puede depararnos más pérdidas y ralentizar el crecimiento. Acerca de McAfee McAfee, parte de Intel Security y empresa subsidiaria propiedad de Intel Corporation (NASDAQ: INTC), permite a las empresas, el sector público y los usuarios particulares disfrutar con seguridad de las ventajas de Internet. La empresa ofrece soluciones y servicios de seguridad proactivos y de eficacia probada para sistemas, redes y dispositivos móviles en todo el mundo. Con su estrategia Security Connected, su innovador enfoque de la seguridad potenciada por el hardware y su exclusiva red Global Threat Intelligence, McAfee se centra constantemente en mantener seguros a sus clientes. http://www.mcafee.com/mx Acerca de CSIS Desde hace 50 años, el CSIS (Center for Strategic and International Studies) desarrolla soluciones prácticas para superar los mayores retos a los que se enfrenta el mundo. En el aniversario de este centro, sus investigadores siguen proporcionando análisis y soluciones bipartitas estratégicas que permitan a los responsables de la toma de decisiones actuar para crear un mundo mejor. El CSIS es una organización sin ánimo de lucro, bipartita, con sede en Washington, DC. Sus 220 empleados a jornada completa y su enorme red de investigadores asociados llevan a cabo investigaciones y análisis, y desarrollan iniciativas y estrategias para prever las tendencias futuras y anticipar los cambios necesarios. http://csis.org/ McAfee, Inc. 6205 Blue Lagoon Drive Suite 600 Miami, Florida 33126 U.S.A. www.mcafee.com/mx McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones de productos mencionados en este documento se proporcionan únicamente a título informativo y están sujetos a cambios sin aviso previo; se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita. Copyright © 2014 McAfee, Inc. 61080rps_csis-econ-cybercrime-sum_fnl_0514