A la hora de prevenir un ciberataque, ¿son más importantes y efectivas las herramientas de seguridad instaladas o los comportamientos de los usuarios? Es la pregunta a la que ha tratado de dar respuesta un equipo de investigadores de la ETSI Industriales de la Universidad Politécnica de Madrid (UPM) y la conclusión a la que han llegado puede resultar asombrosa para muchos. Y es que, en contra de lo que podría pensarse, un mayor nivel de herramientas de seguridad no garantiza una mayor protección contra las amenazas informáticas, sino que parece que es más bien al contrario.
Solo en el año 2022 se registraron un total de 374.737 ciberdelitos en nuestro país, un 22 por ciento más que el año anterior según los datos proporcionados por el Informe sobre Cibercriminalidad en España facilitado por el Ministerio del Interior. El uso del ordenador en los hogares ha crecido y los usuarios cada vez estamos más expuestos a los ataques de los ciberdelincuentes.
La gran mayoría de los estudios realizados en el campo de la seguridad informática se han concentrado en analizar los factores que influyen en el comportamiento de los usuarios, un sistema que presenta algunas deficiencias.
“Este tipo de estudios poseen una limitación metodológica común ya que suelen utilizar una estrategia de medición de variables basada exclusivamente en intenciones extraídas de autoinformes por parte de los usuarios que, muchas veces, incorporan problemas de recuerdo o deseabilidad social”, explica Alberto Urueña, investigador de la UPM y uno de los autores del trabajo. De ahí que los investigadores de la UPM utilizasen un enfoque diferente: “El presente estudio sigue un enfoque alternativo donde, además de recopilar datos a través de una encuesta, también recopilamos datos reales mediante la instalación de software en las computadoras de los usuarios, con la aprobación de los participantes, para evaluar el riesgo real y los incidentes de seguridad que ha sufrido el ordenador. Adaptamos un modelo de teoría criminológica de ciberseguridad off-line a on-line”. :
Nos sentimos más seguros, pero somos más vulnerables
Los resultados son claros: el tener más cantidad herramientas de seguridad se relaciona positivamente con que el ordenador esté infectado, con un mayor nivel de riesgo y con más infecciones.
Para los investigadores, una explicación plausible para este comportamiento puede provenir de la teoría del riesgo moral: la protección contra daños induce a un comportamiento imprudente. “Es probable que las herramientas de seguridad den a los usuarios una falsa sensación de seguridad: una “ilusión de tener todo controlado” que alienta a participar en actividades en Internet de más riesgo que atraen a los ciberdelincuentes y que acaban originando más incidentes de seguridad”, añade.
El hallazgo de los investigadores de la universidad hace una contribución importante a la comprensión del papel de las herramientas de seguridad en la seguridad de la información. “En general, las herramientas de seguridad no son suficientes para proteger los sistemas de información, sino que el comportamiento de los usuarios juega un papel muy relevante a la hora de “caer” en las trampas de los ciberdelincuentes”, explica Antonio Hidalgo, otro de los profesores de la UPM participantes en el estudio.
El trabajo de los investigadores que ha sido publicado recientemente en la revista “Technological Forecasting and Social Change” sugieren también que las teorías criminológicas pueden desempeñar un importante papel en el desarrollo de marcos para comprender y prevenir incidentes de seguridad de la información.
“Los programas para disminuir los problemas de ciberseguridad requerirán una combinación de varios enfoques que incluyen herramientas de tecnologías de la información y seguridad conductual. Nuestro estudio revela la importancia de las actividades de seguridad por encima de las herramientas de seguridad para prevenir problemáticas de ciberseguridad”, apuntan los investigadores.
Con un entorno online cada vez más hostil para los usuarios en términos de seguridad, la importancia de este trabajo, que ha contado con la colaboración del Instituto de Empresa y de Gautam Ray de la prestigiosa Carlson School of Management (Universidad de Minnesota), radica en que tiene implicaciones importantes para los responsables de la formulación de políticas de seguridad informática.
“Las herramientas de seguridad no son suficientes para proteger a los usuarios de infecciones de malware y la necesidad de desarrollar programas de educación y concientización sobre seguridad para los usuarios de sistemas de información”, concluyen los investigadores.