Un estudio realizado en la Universidad Politécnica de Madrid (UPM) pone de manifiesto que las personas que disponen de más herramientas de seguridad instaladas en su ordenador actúan de un modo más imprudente, lo que finalmente les hace más propensos a sufrir un ataque.
Es una de las conclusiones a las que ha llegado un equipo de investigadores de la ETSI Industriales de la UPM, que trataron de responder a la pregunta de si son más importantes las herramientas para evitar virus en Internet o el comportamiento de los usuarios.
Según los impulsores del estudio, la mayoría de las investigaciones sobre seguridad informática se concentran en analizar los factores que influyen en el comportamiento de los usuarios, un sistema que presenta algunas deficiencias.
Riesgo real
“Este tipo de estudios poseen una limitación metodológica común ya que suelen utilizar una estrategia de medición de variables basada exclusivamente en intenciones extraídas de autoinformes por parte de los usuarios que, muchas veces, incorporan problemas de recuerdo o deseabilidad social”, explicó Alberto Urueña, investigador de la UPM y uno de los autores del trabajo.
De ahí que los investigadores de la UPM utilizasen un enfoque diferente: “El presente estudio sigue un enfoque alternativo donde, además de recopilar datos a través de una encuesta, también recopilamos datos reales mediante la instalación de software en las computadoras de los usuarios, con la aprobación de los participantes, para evaluar el riesgo real y los incidentes de seguridad que ha sufrido el ordenador. Adaptamos un modelo de teoría criminológica de ciberseguridad offline a online”.
Los investigadores de la Politécnica concluyeron que tener más cantidad herramientas de seguridad se relaciona positivamente con que el ordenador esté infectado, con un mayor nivel de riesgo y con más infecciones.
Comportamiento imprudente
Para estos estudiosos, una explicación plausible para este comportamiento puede provenir de la teoría del riesgo moral: la protección contra daños induce a un comportamiento imprudente. “Es probable que las herramientas de seguridad den a los usuarios una falsa sensación de seguridad: una 'ilusión de tener todo controlado' que alienta a participar en actividades en Internet de más riesgo que atraen a los ciberdelincuentes y que acaban originando más incidentes de seguridad”, añadió.
“En general, las herramientas de seguridad no son suficientes para proteger los sistemas de información, sino que el comportamiento de los usuarios juega un papel muy relevante a la hora de 'caer' en las trampas de los ciberdelincuentes”, explicó Antonio Hidalgo, otro de los profesores del estudio.
Teorías criminológicas
El trabajo de los investigadores, que ha sido publicado recientemente en la revista Technological Forecasting and Social Chang, sugiere también que las teorías criminológicas pueden desempeñar un importante papel en el desarrollo de marcos para comprender y prevenir incidentes de seguridad de la información.
“Los programas para disminuir los problemas de ciberseguridad requerirán una combinación de varios enfoques que incluyen herramientas de tecnologías de la información y seguridad conductual. Nuestro estudio revela la importancia de las actividades de seguridad por encima de las herramientas de seguridad para prevenir problemáticas de ciberseguridad”, apuntaron los investigadores.
El estudio, que ha contado con la colaboración del Instituto de Empresa y de Gautam Ray de la Carlson School of Management (Universidad de Minnesota), muestra que el comportamiento humano tiene implicaciones para los responsables de la formulación de políticas de seguridad informática.
Necesidad de programas de educación
“Las herramientas de seguridad no son suficientes para proteger a los usuarios de infecciones de malware y la necesidad de desarrollar programas de educación y concientización sobre seguridad para los usuarios de sistemas de información”, concluyeron los investigadores.
Solo en el año 2022 se registraron un total de 374.737 ciberdelitos en España, un 22 por ciento más que el año anterior, según los datos proporcionados por el Informe sobre Cibercriminalidad en España facilitado por el Ministerio del Interior.