Lunes. 20.11.2017 |
Instituto de Estrategia S.L.P.

¿Qué sabe la sociedad civil sobre ciberseguridad?

El exagente de la CIA que robó información clasificada en la propia Central.
El exagente de la CIA que robó información clasificada en la propia Central.

La mayoría de los usuarios de Internet pueden responder correctamente a menos de la mitad de las preguntas en una difícil prueba de conocimiento sobre temas y conceptos de seguridad cibernética.

¿Qué sabe la sociedad civil sobre ciberseguridad?

En un mundo cada vez más digital, los datos personales de un individuo pueden ser tan valiosos -y tan vulnerables- para posibles infractores como cualquier otra posesión. A pesar del impacto de los buenos hábitos de seguridad cibernética y la prevalencia de ataques cibernéticos tanto en instituciones como en individuos, una encuesta del Pew Research Center revela que muchos estadounidenses no tienen claros algunos temas, términos y conceptos clave relacionados con la ciberseguridad. La mayoría de los adultos en línea pueden identificar una contraseña fuerte cuando ven una y reconocer los peligros de usar Wi-Fi pública. Sin embargo, muchos luchan con conceptos más técnicos de ciberseguridad, como por ejemplo, cómo identificar autenticación de dos factores verdaderos o determinar si una página web que están utilizando está encriptada.

Esta encuesta consistió en 13 preguntas diseñadas para probar el conocimiento de los estadounidenses sobre una serie de cuestiones y términos de seguridad cibernética. La ciberseguridad es un tema complicado y diverso, pero estas preguntas abarcan muchos de los conceptos generales y elementos básicos que los especialistas en ciberseguridad destacan como importantes para que los usuarios se protejan en línea. Sin embargo, de promedio, respondieron sólo 5 de estas 13 preguntas correctamente (con una media de 5.5 respuestas correctas). Uno de cada cinco (20%) contestó más de ocho preguntas con precisión, y sólo el 1% recibió una "puntuación perfecta" respondiendo correctamente a las 13 preguntas.

Estos son los hallazgos clave de una encuesta en línea de 1.055 usuarios de Internet de adultos que viven en los Estados Unidos llevado a cabo 17-27 de junio de 2016.

El conocimiento de la ciberseguridad varía ampliamente según el tema y el nivel de detalle técnico

De las 13 preguntas en la encuesta, una mayoría sustancial de adultos en línea fueron capaces de responder correctamente sólo dos de ellas. En primer lugar, el 75% de los adultos en línea puede identificar correctamente la contraseña más fuerte de una lista de cuatro opciones. La contraseña correcta en este caso es la contraseña que no contiene palabras del diccionario: tiene letras, números y símbolos; y tiene una combinación de letras mayúsculas y minúsculas. Un porcentaje similar (73%) es consciente de que si una red Wi-Fi pública está protegida por contraseña, no significa necesariamente que sea seguro realizar tareas delicadas, como la banca en línea, utilizando esa red.

Mientras tanto, alrededor de la mitad de los usuarios de Internet son capaces de responder correctamente a varias otras preguntas en la encuesta. Un 54% de los usuarios de Internet son capaces de identificar ejemplos de ataques de phishing. Del mismo modo, el 52% afirma correctamente que apagar la función GPS de un teléfono inteligente no impide todo el seguimiento de ese dispositivo (los teléfonos móviles también pueden rastrearse a través de las torres celulares o las redes Wi-Fi a las que están conectados).

Además, el 49% de los usuarios de Internet saben que los estadounidenses tienen derecho legalmente a obtener una copia gratuita de su informe de crédito anualmente de cada una de las tres principales agencias de crédito. Este problema no está específicamente relacionado con ningún aspecto técnico de la seguridad cibernética, pero los expertos en ciberseguridad recomiendan que cualquiera que use Internet para transacciones financieras u otras transacciones sensibles revise regularmente sus informes de crédito para descubrir evidencia de robo de identidad u otros tipos de fraude. Un porcentaje similar (48%) puede definir correctamente el término "ransomware". Esto se refiere a los delincuentes que acceden a la computadora de alguien, cifrar sus archivos personales y datos y retenerlos como rehenes a menos que se les pague para descifrar los archivos.

La comprensión práctica del correo electrónico y del cifrado Wi-Fi por parte de los estadounidenses también es relativamente heterogénea: el 46% de los usuarios de Internet son capaces de identificar correctamente que la afirmación "todo el correo electrónico está cifrado de forma predeterminada" es falsa. Algunos servicios de correo electrónico cifran los mensajes de los usuarios, pero esto no es una característica estándar de todos los servicios de correo electrónico. Al mismo tiempo, el 45% identifica correctamente la afirmación "todo el tráfico Wi-Fi está cifrado por defecto en todos los routers inalámbricos" también es falso.

El conocimiento público de la ciberseguridad es menor en algunos aspectos relativamente técnicos

La comprensión por parte de los usuarios de Internet de las cuestiones restantes de ciberseguridad medidas en la encuesta es más baja, en algunos casos incluso dramáticamente. Por ejemplo, el 39% de los usuarios de Internet son conscientes de que los proveedores de servicios de Internet (ISP) pueden ver los sitios visitados por sus clientes mientras utilizan el modo de "navegación privada" en sus navegadores de Internet. El modo de navegación privada sólo evita que el navegador en sí y, en algunos casos, el ordenador del usuario o el teléfono inteligente, guarde esta información, aún siendo visible para el ISP. Y un tercio (33%) saben que la letra "s" en una URL que comienza con "https: //" indica que el tráfico en ese sitio está encriptado.

Mientras tanto, sólo el 16% de los adultos en línea son conscientes de que un grupo de computadoras que está conectado en red y utilizado por los piratas informáticos para robar datos se denomina "botnet". Una cuota similar (13%) es consciente de que los riesgos de usar las redes Wi-Fi pueden minimizarse utilizando una red privada virtual o VPN.

Por último, los expertos en ciberseguridad suelen recomendar que los usuarios de Internet empleen la autenticación de "dos factores" o "multi-factor" en cualquier cuenta donde esté disponible. La autenticación de dos factores generalmente requiere que los usuarios inicien sesión en un sitio usando algo que el usuario sabe (como una contraseña tradicional) junto con algo que el usuario posee (como un teléfono móvil o un "token" de seguridad), proporcionando así una capa adicional de seguridad en el caso de que la contraseña de alguien sea hackeada o robada. Pero cuando se presentan con cuatro imágenes de diferentes tipos de pantallas de acceso en línea, sólo el 10% de los adultos en línea son capaces de identificar correctamente el único  ejemplo en la lista de verdadero proceso de autenticación de múltiples factores. En este caso, la respuesta correcta fue una imagen de una pantalla de inicio de sesión con un código temporal enviado al teléfono de un usuario que sólo les ayudará a iniciar sesión por un período limitado de tiempo. Varias de las otras opciones de respuesta ilustran situaciones en las que se requiere que los usuarios realicen una acción secundaria antes de acceder a una página, como introducir un "captcha" o responder a una pregunta de seguridad. Sin embargo, ninguna de estas otras opciones son ejemplos de autenticación de dos factores.

Una proporción significativa de los adultos en línea simplemente no están seguros de la respuesta correcta sobre una serie de preguntas sobre el conocimiento de la ciberseguridad

Aunque la proporción de adultos en línea que pueden responder correctamente a preguntas sobre cuestiones de ciberseguridad varía de un tema a otro, en la mayoría de los casos la proporción que proporciona una respuesta incorrecta real es relativamente pequeña. Más bien, muchos usuarios indican que simplemente no están seguros de la respuesta correcta a un gran número de preguntas en esta encuesta.

En el extremo inferior, alrededor de uno de cada cinco adultos en línea indican que no están seguros de cómo identificar la contraseña más segura de una lista (17%), cómo identificar la identificación multifactorial (18%) o si una Wi-Fi pública es segura para actividades delicadas (20%). En el extremo superior, una mayoría sustancial de usuarios de Internet no está segura de qué propósito sirve una VPN (70%) o lo que hace una "botnet" (73%). Hay también una serie de preguntas en esta encuesta donde responder "no seguro" es marcadamente más común que las respuestas incorrectas. Estas incluyen la definición de "ransomware", independientemente de si el correo electrónico y el tráfico Wi-Fi están cifrados de forma predeterminada, si el modo de navegación privada impide que los ISP supervisen la actividad del cliente y cómo identificar si una página web está encriptada. De hecho, sólo hay una pregunta en la encuesta: cómo identificar una pantalla de autenticación de múltiples factores, para la cual una mayor proporción de encuestados responde incorrectamente, antes que indicar que no son capaces de responder a la pregunta en absoluto.

Aquellos con mayores niveles de educación y los usuarios de Internet más jóvenes son más propensos a responder a las preguntas de ciberseguridad correctamente

El conocimiento de los usuarios de Internet sobre ciberseguridad varía según varios factores demográficos. Las diferencias más consistentes están relacionadas con el logro educativo.

Aquellos con títulos universitarios o superiores respondieron un promedio de 7.0 de las 13 preguntas en la encuesta correctamente, en comparación con un promedio de 5.5 entre los que han asistido pero no se graduó en la universidad y un promedio de sólo 4,0 para aquellos con diplomas de escuela secundaria o menos .

Aproximadamente un cuarto (27%) de los que tenían títulos universitarios respondió 10 o más preguntas correctamente, en comparación con el 9% de los que asistieron pero no se graduaron en la universidad y sólo el 4% de aquellos con diplomas de escuela secundaria o menos.

En las 13 preguntas de la encuesta, hay al menos una diferencia de 11 puntos porcentuales en las respuestas correctas entre los grupos de mayor y menor nivel educativo. Y hay cuatro preguntas con una diferencia de 30 puntos porcentuales o más entre los grupos de mayor y menor nivel educativo. Estos incluyen si el tráfico Wi-Fi está o no cifrado por defecto en todos los routers inalámbricos (una diferencia de 34 puntos); a qué se refiere "https: //" en una URL (32 puntos); si todo el correo electrónico está encriptado de forma predeterminada (32 puntos); y la definición de "ransomware" (31 puntos).

El conocimiento de la ciberseguridad también varía según la edad de los encuestados, aunque estas diferencias son mucho menos dramáticas que las diferencias relativas al logro educativo. De hecho, en una serie de estas preguntas, los usuarios de Internet de 65 años o más son tan conocedores como los de edades entre 18 a 29. Por ejemplo, los usuarios mayores y jóvenes son igualmente susceptibles de ser capaces de identificar un ataque de phishing, identificar la contraseña más segura de una lista y saber a cuántos informes de crédito gratis los estadounidenses tienen derecho por ley. Sin embargo, los usuarios más jóvenes tienen una puntuación más alta en ciertas preguntas, como por ejemplo: si el modo de "navegación privada" impide que los ISP rastreen las actividades en línea de los usuarios (una diferencia de 27 puntos) o si apagar la función GPS en un "smartphone" deshabilita todo el seguimiento de ese dispositivo (diferencia de 23 puntos).

En general,  el grupo de 18 a 29 años de edad respondió correctamente a una media de 6,0 de 13 preguntas, en comparación con una media de 5,0 entre las personas de 65 años de edad y más.

Fuente: Pew Research. Leer artículo completo aquí: "What the Public Knows About Cybersecurity".

¿Qué sabe la sociedad civil sobre ciberseguridad?
Comentarios