ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Aspecto economico de la seguridad. Mercado de vulnerabilidades


Enviado por   •  7 de Julio de 2020  •  Ensayos  •  1.157 Palabras (5 Páginas)  •  159 Visitas

Página 1 de 5

[pic 1][pic 2][pic 3]

Introducción

El presente ensayo busca aunar en la economía de vulnerabilidades un tema del que personalmente no tenía tanto conocimiento, pero al leer el artículo The Economics of Information Security me ayudo a entender mas y a realizar una investigación sobre todo lo que tiene que ver. Si bien el articulo es de hace mas de 10 años, plantea varios escenarios que en el presente se hicieron realidad y hubo nuevos, como el IOT.

Desarrollo

El articulo habla sobre como el mercado de la seguridad informática cambiara en un futuro (fue publicado en 2006) y en su momento presento varios temas interesantes entre los que destacan:

  • Seguridad Externa
  • Economía de vulnerabilidades
  • Económica de la Privacidad

El tema que me llamo la atención fue el de economía de vulnerabilidades. Antes de continuar, es importante aclarar lo que es una vulnerabilidad de software. Esta se define como un defecto o debilidad en la seguridad de un sistema que puede ser explotada por un usuario malicioso, causando daño o perdida. Buscando en internet encontré varios artículos relacionados a los temas a los que mencionaba, como son los seguros que, en la actualidad, al menos en Estados Unidos, tienen varios productos tanto para las compañías que pueden verse atacadas como para los proveedores que desarrollan software y pueden llegar a presentar estos fallos. Algunos de los que encontré son (Grones, 2020):

  1. AXA
  2. AIG.
  3. Travelers
  4. Vazley
  5. Zurich
  1. BCS
  2. Fairfax
  3. Tokio Marine
  4. Liberty Mutual
  5. CNA

Otra hipótesis que plantea el articulo referente al mercado de vulnerabilidades, es que muchas de estas vulnerabilidades se presentan debido a la rapidez con que las compañías tratan de sacar el software al mercado, citando al artículo “Saca el producto, estará estable en la versión 3.0” esto sin duda alguna representa un problema para los compradores que tratan de tener la última versión de un software o que se ven obligados a actualizar cuando la versión aun no es estable. Sin embargo dentro de esta hipótesis plantea el problema de compañías que no tienen tantas vulnerabilidades y habla del problema de “mercado de limones” (limones es como se conoce a los autos usados que no están en buenas condiciones) revisando este término (Policonomics.com, 2020)encontré que, aplicado al tema en cuestión, se refieren a que aunque existan compañías que desarrollan software de una manera adecuada, también hay quienes lo hacen rápido y de una manera no segura, el problema es cómo saber cuándo un software esta desarrollado de manera segura? ¿Y cuándo contendrá fallos? Aquí el problema es que los usuarios se van por la segura, Todos tendrán fallos. 

Este último punto referente a las vulnerabilidades me hizo buscar más información, y encontré un artículo titulado “Software Vulnerability Markets: Discoverers and Buyers” (Abdullah M. Algarni, 2020) que habla de los distintos actores que participan en este mercado. Los autores los agrupan en dos grandes grupos, descubridores y compradores

Los descubridores son todos aquellos actores, individuos o compañías que se especializan en encontrar estos fallos dentro de los software o sistemas aplicativos y los compradores son todos aquellos actores, generalmente compañías que se encargan de “comprar el fallo” ya sea para fines diversos que incluye desde:

  • Hacktivismo, ataques diseñados para llamar la atención hacia una causa a veces asociado con ciberterrorismo
  • Ataques específicos a compañías mercantiles o gubernamentales,
  • Uso comercial que consiste en que la misma compañía dueña del software compra el fallo para trabajarlo y parchea el fallo encontrado o
  • La compañía que compra el fallo se lo vende a la dueña del software por un mayor precio.
  • Agencias gubernamentales interesadas en usar el fallo para fines propios.

En este mismo articulo habla de los distintos mercados que existen para estos fallos desde los mercados “regulados” y que se distinguen por que las transacciones son almacenadas y reconocidas, entre otros:

  • compañías de seguridad que comprar el fallo para posteriormente revenderlo a las compañías dueñas del software,
  • programas de recompensas diseñados por las compañías de software que compran u otorgan una recompensa por los fallos que le son reportados por consultores, FreeLancer u otras compañías sobre el software del que son dueños.
  • Compañías que contratan a estos FreeLancer para especialmente buscar fallos en software y que posteriormente venderán a las compañías dueñas de software.

Los otros tipos de mercado, los “no regulados” son los siguientes

  • Fórums online, donde se dan una muestra de los fallos y se negocia la transacción, sin rastro alguno
  • Bróker, compañías o grupos que compran la vulnerabilidad y la ocupan para sus propios fines, desde agencias del gobierno, atacantes maliciosos, o grupos de “hacktivismo”.

Un resumen de estos mercados los actores y el uso que se le da a los exploits, se muestra en la ilustración 1

[pic 4]

Ilustración 1 - Actores dentro del mercado de vulnerabilidades

En este punto algo que llamo mi atención fue la cantidad que se paga por fallos, desde las compañías que lo compran hasta los programas de recompensas, en el artículo mencionan que las empresas de software tienen niveles de recompensa y el mayor que se tiene registrado es por un fallo en el sistema operativo IOS quien ha pagado hasta 250,000 USD por un exploit.

...

Descargar como (para miembros actualizados)  txt (7.9 Kb)   pdf (287.8 Kb)   docx (180.3 Kb)  
Leer 4 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com