percepción de seguridad en la web
Autor: Marcelo Ruano Serna
RESUMEN:
En este artículo hablaremos de las medidas de seguridad web y de la necesidad de transmitir a los internautas que internet es un entorno seguro. En primer lugar, se realizará una definición de los términos seguridad y percepción. A continuación, se hará referencia a la actitud y percepción de (in)ciberseguridad de los ciudadanos europeos. En tercer lugar, se mencionará un interesante proyecto que investiga acerca de la seguridad de las principales páginas web públicas en nuestro país. Se realizará un esbozo de las posibles consecuencias de la falta de seguridad web y sus potenciales efectos en la percepción de la ciudadanía. Finalmente se esbozarán unas breves conclusiones resaltando la importancia de la seguridad web objetiva y subjetiva.
Palabras clave: percepción de inseguridad, seguridad web, criminología aplicada.
LA SEGURIDAD ES UNA PERCEPCIÓN
Según la Real Academia Española el término seguridad se define como «Cualidad de seguro«. El mismo diccionario define la palabra seguro como “libre y exento de riesgo”.
Por tanto, conforme a estas definiciones la seguridad se debe entender como la ausencia de riesgo. Sin embargo, todos sabemos que la ausencia de riesgo es una utopía y el riesgo siempre existe, en mayor o menor medida. Entonces, si es imposible que exista una ausencia total de riesgo ¿es posible que tampoco exista la seguridad total?
Efectivamente, la seguridad total no existe. Además, la seguridad tiene un fuerte componente subjetivo. Las personas por múltiples factores podemos sentirnos más o menos seguras ante determinadas situaciones y es de esperar que dos observadores diferentes pueden percibir una situación objetivamente similar de manera diferente.
A modo de ejemplo imaginemos que estando en un parque se nos acerca un perro. En este caso sería posible que para una persona concreta esta situación sea percibida como un riesgo (que el perro de un desconocido le muerda) mientras que otro individuo puede percibir que no hay ningún problema y que el animal solo quiere saludarlo.
Como puede verse en el ejemplo anterior, ante un mismo evento dos individuos es posible que experimenten distintas percepciones. La percepción es un proceso psicológico básico que consiste en la interpretación de las sensaciones que recibimos de los estímulos de nuestro entorno a través de nuestros sentidos. Al tratarse de la interpretación de un estímulo entran en juego nuestra experiencia previa, nuestras expectativas, nuestros propios prejuicios y sesgos cognitivos.
Teniendo en cuenta el componente subjetivo de la seguridad es recomendable tomar medidas objetivas para minimizar los riesgos y conjuntamente también se debe transmitir seguridad.
Internet es un entorno diferente al mundo físico. Sin embargo, también existen riesgos y amenazas específicos para los usuarios y usuarias. Por lo tanto, los operadores de internet, las administraciones y los propios usuarios con un comportamiento responsable tienen que encaminarse a ese ideal de ausencia de riesgo para hacer más segura, de manera real y percibida para todos, la navegación en la web.
Splinternet y el internet europeo
Hace algunos años el Centre for International Governance Innovation(CIGI) anunciaba la existencia de cuatro internets diferenciados. El internet europeo es uno de los cuatro modelos de internet que se identifican. En el artículo consideran que el elemento diferenciador ,con respecto a los otros modelos de internet, es la regulación de ciertos contenidos, especialmente aquellos con carácter extremista. Además, el internet de la Unión Europea se caracteriza por la mayor protección de datos de los usuarios.
Considerado este internet europeo y sus particularidades, en este breve artículo vamos a estudiar las actitudes ante la ciberseguridad de la ciudadanía europea en su conjunto.
El Eurobarómetro 499 de Enero de 2020 denominado “La actitud de los ciudadanos europeos ante la ciberseguridad” ofrece gran cantidad de información de interés.
Actitud de los ciudadanos europeos ante la ciberseguridad.
Entre las múltiples conclusiones halladas en el Eurobarómetro nos gustaría resaltar las siguientes:
- El 93% de los europeos que utilizan internet ha cambiado su comportamiento debido a su preocupación por la privacidad y la seguridad online. Especialmente no abriendo emails de remitentes desconocidos e instalando antivirus.
- El 32% de los encuestados solo visitan páginas web que conocen y en las que confían. Transmitir confianza parece ser un elemento a tener en cuenta de cara a satisfacer a los internautas europeos.
- El 76% de los encuestados creen que el riesgo de convertirse en víctima de ciberdelitos está creciendo. El 68% de la muestra no considera que las páginas web mantengan su información segura. Además el 61% afirma que las autoridades competentes tampoco mantienen sus datos seguros.
- Más del 60% de los internautas entrevistados afirman estar preocupados por ser víctimas de ciberdelitos. Especialmente de los siguientes: fraude bancario online, infección por malware, robo de identidad o el hackeo de sus cuentas en redes sociales o email.
- Sin embargo, se da la paradoja de que menos del 40% de los encuestados afirman haber sido víctimas de algún tipo de ciberdelito. Este dato resulta relevante ya que indica que la tasa de victimización y el miedo a ser víctimas de ciberdelitos no van a la par.
- Como buenos criminólogos y criminólogas sabemos que existen hechos delictivos que no se denuncian y por ello no son conocidos por las autoridades. Esto es lo que se denomina cifra negra de la criminalidad. En el caso del cibercrimen la cifra negra es muy elevada. Según la encuesta 8 de cada 10 internautas afirman que nunca han denunciado ningún ciberdelito o comportamiento online inapropiado.
Cifra negra y triángulo del delito
La falta de denuncia ante las autoridades favorece la impunidad de los ciberdelincuentes y esta sensación de impunidad les podría envalentonar para seguir delinquiendo. En términos criminológicos nos hallaríamos ante un perfecto triangulo del delito compuesto por sus tres principales elementos Cohen, L., & Felson, M. (1979)
- Delincuente motivado. En este caso un ciberdelincuente que se siente impune.
- Objetivo criminal. Los datos o credenciales de un internauta.
- Ausencia de un guardian capaz. En este caso serían, los proveedores de sitios web no seguros o las autoridades que desconocen el número real de ciberdelitos y no pueden prevenirlos.
Si todos ellos coinciden en el mismo tiempo y espacio tendríamos una situación como la que se muestra en la figura.
Me he tomado la libertad de representarlo gráficamente como un embudo para representar los tres componentes del ciberdelito de manera simple. No obstante, la teoría original está basada en la teoría de las actividades rutinarias de Cohen y Felson. La teoría actualmente es más compleja y consiste en un doble triángulo, que ha ido añadiendo elementos con el paso de los años y la contribución de autores como John Eck .
A continuación, nos centraremos en España y analizaremos cual es la seguridad de algunas de las webs de las instituciones públicas de nuestro país.
LA SEGURIDAD WEB DE INSTITUCIONES PÚBLICAS EN ESPAÑA
A día de hoy cada vez es más frecuente interactuar en internet con las diferentes instituciones públicas a través de su página web. Desafortunadamente, también es frecuente encontrar que una gran mayoría de las webs de instituciones o servicios públicos son inseguras. ¿A quién no le ha pasado que al ir a entrar a alguna web de este tipo el navegador le ha avisado de que la página no era segura?
El Observatorio de Seguridad Web es un proyecto muy interesante que pretende visibilizar la falta de seguridad de las webs pertenecientes a las empresas, servicios e instituciones públicas de nuestro país. Actualmente han constatado que solo un 2% de los más de 700 sitios webs analizados hasta el momento pueden ser considerados seguros.
Como se ha ido mencionando a lo largo de este artículo la seguridad web tiene una doble vertiente. Una objetiva, las medidas de seguridad en este caso, que como puede verse en ocasiones son escasas y una parte subjetiva que analizaremos a continuación.
QUE EFECTOS PUEDE TENER QUE UNA PÁGINA WEB SEA INSEGURA
Un ejemplo de una situación inaceptable
Para ilustrar esta problemática de las webs públicas inseguras desde una perspectiva subjetiva me gustaría utilizar el siguiente ejemplo. Imaginemos que vamos caminando y nos dirigimos hacia alguna institución pública a realizar un trámite y que de repente en la puerta nos encontramos señales diciendo “este lugar no es seguro, es posible que haya un delincuente detrás de la puerta esperando para escuchar tu conversación o robarte la cartera con tu DNI y tu dinero”. ¿Asusta un poco no?
Obviamente el caso del ejemplo es una exageración. Cuando tenemos que realizar trámites presenciales es imposible que esto ocurra ya que normalmente se trata de lugares bien protegidos y no hay nadie esperando detrás de la puerta para robarnos nuestros datos personales o bancarios.
La misma situación online
Cuando realizamos trámites online ante alguna administración pública algo inimaginable en un trámite presencial resulta bastante frecuente.
En ocasiones al entrar en un sitio web como los que analiza el proyecto mencionado en el apartado anterior, el navegador nos indica que “la conexión no es privada y es posible que piratas informáticos estén intentando robar tus datos por ejemplo: contraseñas, mensajes o datos de tu tarjeta de crédito. Esto es el equivalente online al ejemplo anterior y se tomaría muy en serio si ocurriera en una interacción presencial con alguna institución pública.
La aparición de este tipo de mensajes tan alarmantes no significa que por el hecho de acceder a una web insegura necesariamente vayan a robar los datos personales de los internautas. No obstante, si que existe un riesgo real. Los ciudadanos pueden considerar que sus datos pueden ser sustraídos cuando interactúan con las instituciones públicas y sentir miedo real a ser víctimas de un ciberdelito.
Esto tiene consecuencias que deben tenerse en cuenta y van más allá de que efectivamente sus datos personales o bancarios se vean comprometidos.
- Desconfianza en el sitio web que puede extenderse a la propia institución.
- Dudas acerca de la legitimidad del mismo. ¿Cómo es posible que si estoy en la página web de una institución pública me indique que es insegura? ¿Estoy en la página correcta?
- Responsabilidad legal de los dueños del sitio web por una mala gestión de los datos de los usuarios. En el caso de que efectivamente se materialice esa amenaza.
CONCLUSIONES
La seguridad total no existe, es únicamente un ideal o una meta alcanzar. En ocasiones se tiende a considerar más importante la implementación de medidas de seguridad en internet que la vertiente subjetiva de la seguridad. La seguridad es una percepción y como tal ha de entenderse también en internet. Es por ello que resulta adecuado no solo “hacer” seguridad si no también transmitir seguridad a los internautas.
Los internautas europeos cada vez son más conscientes de los riesgos que existen en internet y de sus consecuencias. Sin llegar a niveles alarmantes sí que se podría considerar que existe percepción de inseguridad en internet.
Los proveedores de servicios web, especialmente si se trata de instituciones públicas, han de ser conscientes de lo importante que es garantizar la ciberseguridad de los sitios web implementando medidas de seguridad mínimas como HTTPS y certificados de seguridad válidos. Además, han de ser conscientes de que los ciudadanos son cada vez más conscientes y temerosos de los riesgos que conlleva navegar por internet. Han de saber transmitir que se trata de un entorno seguro para poder reducir la percepción de inseguridad de los usuarios y usuarias.
En definitiva, no basta con tener una web segura también debe ser percibida como tal por los usuarios.
Marcelo Ruano Serna – Graduado en Criminología y Seguridad.
Suscríbete a nuestro canal de youtube
En él encontrarás contenido semanal relacionado con los sectores de la Criminología, Inteligencia, Ciberseguridad, Criminalística, Delincuencia Económica, etc.
Podrás disfrutar de entrevistas con grandes profesionales de estos sectores, podcasts, documentales, videos de orientación, y mucho más que esta por venir.
Bibliografía:
Cohen, L., & Felson, M. (1979). Social Change and Crime Rate Trends: A Routine Activity Approach. American Sociological Review, 44(4), 588-608. Recuperado March 6, 2021, de http://www.jstor.org/stable/2094589