A onda de crimes virtuais que nunca chegou a acontecer

• 0

Em menos de 15 anos, o cibercrime passou da obscuridade para o centro das atenções do consumidor, das empresas e das preocupações de segurança nacional. Relatos populares sugerem que o cibercrime é grande, de crescimento rápido, rentável e altamente evoluído; a estimativa das perdas anuais com os crimes na internet variam de bilhões para quase US$ 1 trilhão. Enquanto outras indústrias estão cambaleando sob o peso da recessão, no crime cibernético o negócio está aparentemente crescendo.

Examinamos o cibercrime do ponto de vista da economia e encontramos uma história que não bate com a sabedoria convencional. Alguns criminosos se saem bem, mas o cibercrime é uma incansável luta de baixo lucro para a maioria.

Spam, roubo de senhas ou pilhagem de contas bancárias podem parecer um negócio perfeito. Os cibercriminosos podem estar a milhares de quilômetros do local do crime, que pode baixar tudo o que precisam online, e há pouca formação ou dispêndio de capital necessário. Quase qualquer um pode fazê-lo.

Bem, não é exatamente assim. Estruturalmente, a economia de cibercrimes como spam e roubo de senhas é a mesma que a da pesca. A Economia há muito tempo estabeleceu que o acesso comum a recursos são oportunidades de negócios ruins. Não importa quão grande a oportunidade original, os novos operadores continuam a chegar, dirigindo o retorno médio sempre para baixo. Assim como a população de peixe é levada à exaustão, nunca há "dinheiro fácil" o suficiente para todo mundo.

Metodologia

A maior parte das estimativas se baseia em pesquisas realizadas com consumidores e com empresas. Elas se utilizam da credibilidade das pesquisas eleitorais, nas quais todos nós aprendemos a confiar. Contudo, quando os dados são aplicados à população como um todo, há uma enorme diferença entre perguntas sobre a preferência dos entrevistados (que são utilizadas nas pesquisas eleitorais) e questões sobre números (utilizadas nas pesquisas sobre crimes virtuais).

Afinal de contas, os erros em pesquisas numéricas quase sempre levam ao exagero dos dados: uma vez que a quantidade de perdas estimadas deve ser positiva, não há limite máximo, mas zero é um limite mínimo difícil. Como consequência, respostas erradas – ou propositadamente mentirosas – nunca desaparecem das estatísticas. O que é pior é que os erros se tornam ainda maiores quando os pesquisadores extrapolam para o restante da população os números que foram obtidos com o grupo pesquisado.

Imagine que pedíssemos que 5 mil pessoas contabilizassem o dinheiro que perderam com crimes virtuais, para que, em seguida, estendêssemos esses dados para uma população de 200 milhões de pessoas. Cada dólar perdido é multiplicado por 40 mil. Um único indivíduo que minta, dizendo que perdeu US$ 25 mil, acrescenta um bilhão de dólares à estimativa. E, uma vez que ninguém pode dizer que suas perdas foram negativas, o erro jamais pode ser cancelado.

Todas as pesquisas a respeito de crimes virtuais que examinamos exibem exatamente esse padrão de casos isolados que deturpam os resultados finais. Em algumas delas, 90% da estimativa parece vir da resposta de um ou dois indivíduos. Em uma pesquisa sobre roubo de identidade realizada em 2006 pela Comissão Federal de Comércio, dois entrevistados deram respostas que acrescentaram 37 bilhões à estimativa, ultrapassando o total combinado de todos os demais entrevistados.

Isso não é apenas uma falha no caminho da perfeição, nem uma questão de alguns pontos percentuais; é uma regra e não uma exceção. Entre dezenas de pesquisas feitas por fornecedores de segurança, analistas do setor e agências governamentais, não fomos capazes de encontrar sequer uma que estivesse livre desse viés exagerado. Como resultado, nós praticamente não fazemos ideia do tamanho real das perdas causadas pelos crimes virtuais.

Um crime virtual cuja lucratividade é baixa e a concorrência é avassaladora explica, de forma simples, fatos que normalmente seriam enigmáticos. Credenciais e números de cartões de crédito roubados podem ser comprados por centavos, pelo simples fato de que é muito difícil ganhar dinheiro com eles. Não somos capazes de encontrar bilionários do crime virtual, simplesmente porque eles não existem. Poucas pessoas conhecem alguém que perdeu grandes quantidades de dinheiro, porque essas vítimas são muito mais raras do que as estimativas exageradas dão a entender.

Naturalmente, isso não significa que as perdas e os ganhos sejam equivalentes: o fato de que os bandidos encontram dificuldade para enriquecer não significa que as consequências sejam pequenas para os mocinhos. A estimativa dos lucros pode ser extremamente exagerada, mas seria um erro dizer que os crimes virtuais não são um problema sério.

Quem já teve seu computador infectado com um malware, ou a senha do seu e-mail roubada, sabe que limpar a bagunça supera qualquer benefício recebido pelos hackers. Muitas medidas que prejudicam a população como um todo – de complexas políticas de senhas a pop-ups com testes para "provar que você é um ser humano" – não seriam necessárias se os criminosos virtuais não estivessem abusando constantemente do sistema.

Ainda assim, isso não significa que as estimativas de perdas exageradas deveriam ser aceitáveis. Na verdade, consumidores e legisladores devem encontrar uma nova forma de avaliar o problema.

A real medida dos crimes virtuais deve ser o tamanho dos danos sofridos pelos usuários, ao invés dos ganhos (muito menores) obtidos pelos hackers. As pesquisas que perpetuam o mito de que os crimes virtuais são uma forma fácil de ganhar dinheiro são prejudiciais, porque servem para encorajar iniciantes esperançosos e mal informados, que causarão mais danos aos usuários que benefícios a si próprios.

*Dinei Florencio é pesquisador e Cormac Herley é chefe de pesquisa na Microsoft Research.