Ramón Ventura Roque Hernández es ingeniero en Sistemas Computacionales, maestro en Ciencias en Ingeniería Electrónica, doctor en Ingeniería Telemática y doctor en Educación. Actualmente es profesor investigador en la Universidad Autónoma de Tamaulipas, México. Sus intereses de investigación incluyen la ingeniería de software, la informática aplicada y la tecnología educativa.
Carlos Manuel Juárez Ibarra es licenciado en Informática y maestro en Comunicación Académica. Actualmente es docente de la Universidad Autónoma de Tamaulipas, México, y desarrollador profesional de sitios web. Sus intereses de investigación incluyen la seguridad informática, la tecnología educativa y el desarrollo de software.
Este artículo presenta una investigación realizada para explorar las deficiencias en seguridad informática que poseen los alumnos universitarios de licenciatura en informática en sus primeros semestres, y para evaluar preliminarmente el efecto que tendría un programa de capacitación y concientización diseñado para ellos. Se trabajó con un solo grupo de participantes, a quienes se encuestó antes y después de un evento formativo en modalidad de conferencia. Para analizar los datos se utilizó el software SPSS, donde se realizaron pruebas no paramétricas de Wilcoxon para buscar diferencias entre las respuestas recabadas antes y después del evento. Se encontró que los participantes podrían tener mayores niveles de conocimientos y seguridad en sus actividades cotidianas de cómputo, y que el evento logró incrementar indicadores tales como la percepción de conocimientos sobre seguridad informática y la conciencia de realizar respaldos más frecuentemente. Los resultados preliminares muestran un efecto positivo que motiva a implementar un programa permanente de concientización y capacitación.
This paper presents a research aimed at: 1) exploring the deficiencies in cyber security that freshman university students of Information Technology (IT) undergraduate programs have, and 2) evaluating the effect that an awareness and training program designed for them would have. In this research, one group of students participated; they were surveyed before and after a training activity that was presented to them as a conference. The responses of the participants were analyzed using the SPSS statistical software, and several Wilcoxon non parametrical tests were performed to find differences before and after the event. It was found that participants could have higher levels of knowledge and safety in their daily activities; also, it was found that the conference increased the perception about cyber-security concepts and the awareness to create information back-ups more often. These preliminary results show a positive effect that encourages to implement a permanent training and awareness program.
La seguridad informática hoy día es un tema central para todos los usuarios de equipos de cómputo, ya sean de escritorio o móviles, en el hogar, en la escuela o dentro de una organización. Esto se debe a que el uso del Internet con su popularización ha traído consigo importantes riesgos de seguridad. El Internet es usado para propósitos para los cuales no fue concebido desde su creación. Inicialmente el Internet fue diseñado para promover la conectividad y no la seguridad (
La veloz adopción de Internet, dispositivos móviles y aplicaciones en la nube han causado que las compañías no implementen al mismo ritmo medidas que mejoren la seguridad para enfrentar las amenazas del mundo actual (
Este artículo presenta una investigación que se realizó con los objetivos de explorarlas deficiencias en el área de seguridad informática que poseen los alumnos universitarios de licenciatura en informática en sus primeros semestres, y de evaluar preliminarmente los efectos que tendría un programa de capacitación y concientización orientado a incrementar el nivel de seguridad informática de estos alumnos en sus tareas de cómputo cotidianas. Como diseño de investigación se eligió trabajar con un solo grupo de participantes, a quienes se les encuestó antes y después de un programa formativo en modalidad de conferencia.
El trabajo se encuentra organizado de la siguiente manera: primero se exponen los antecedentes del tema, donde se incluyen las definiciones técnicas utilizadas en este artículo, así como el trabajo previo bajo esta misma línea de investigación. Posteriormente se explica la metodología seguida para este estudio, donde se plasman detalles de los participantes, escenario, instrumento de recolección, intervención, tipo de estudio y diseño de investigación, así como la definición conceptual y operacional de las variables. Después se presentan los resultados obtenidos en el análisis estadístico de los datos y la discusión con sus implicaciones. Finalmente, se abordan las conclusiones del estudio.
La seguridad es un tema que ha ganado cada vez más relevancia para las ciencias de la computación, debido al crecimiento de internet y al volumen de intercambio de datos que se realiza hoy en día (
Para esto la educación y la concientización deben ser valoradas como herramientas útiles contra incidentes peligrosos. Por ejemplo, a los usuarios se les puede capacitar acerca de medidas preventivas y buenas prácticas que les ayuden a entender en qué consisten las amenazas y como protegerse de ellas. De esta manera los usuarios pueden ser más cautelosos y aumentar el nivel de seguridad que tienen en sus actividades de cómputo diarias.
Dentro de la seguridad informática existen muchos términos y problemas que los usuarios deberían conocer. En nuestro trabajo hemos centrado la atención en los siguientes: hackers, crackers, gusanos, troyanos, spyware, phishing y respaldos de información. A continuación, se abordará cada uno de ellos.
De acuerdo con
El código malicioso es cualquier programa escrito para producir inconveniencias al usuario (
Los troyanos son programas que no se replican a sí mismos, sino que ofrecen al usuario una funcionalidad aparentemente útil como la de eliminar virus en su sistema. Una vez que se ejecutan estos programas infectan el equipo con virus que puede enviar información, brindar acceso remoto o deshabilitar opciones de protección. Los troyanos son difíciles de detectar, pues aparentan ser programas útiles, pero son justamente lo opuesto y ralentizan las operaciones de la computadora.
El término spyware se refiere a programas que recolectan información de un usuario sin su conocimiento. Estos programas pueden ser usados para mostrar contenidos relevantes para el usuario o bien para instalar otros programas que pueden recabar información de las teclas oprimidas y de esta manera robar contraseñas o registrar el historial de búsquedas. El spyware no intenta replicarse a otras computadoras.
El phishing es una manera de robar información a través de un correo electrónico que parece provenir de una organización legítima (
Hasta hace algunos años resultaba sencillo identificar este tipo de amenazas, pues contenían elementos que visiblemente resultaban sospechosos. Por ejemplo, su diseño era burdo o su redacción era deficiente. Hoy es más difícil identificar si un correo es legítimo o no, pues la calidad de las falsificaciones se ha incrementado notablemente.
La información es un activo importante para empresas y para personas (
Los respaldos pueden ser completos, es decir, de todos los archivos, o bien incrementales. Solo de los archivos que han cambiado desde el último respaldo; la decisión de realizar un respaldo completo o incremental puede acelerar o alargar considerablemente el proceso de copia de los archivos(
Los respaldos deberían realizarse periódicamente y almacenarse en sitios distintos donde radica el equipo de cómputo para prevenir la pérdida por desastre físico. De esta manera, la nube es una buena opción para guardar los respaldos, pues sus servidores se encuentran geográficamente distantes del equipo que está siendo respaldado.
De acuerdo con
Un programa de concientización también es una ayuda para que las personas comprendan la importancia de seguir las reglas y de los beneficios al tomar medidas que ayuden a incrementar la seguridad de sus datos. El objetivo principal de un programa de concientización es cambiar comportamientos, hábitos y actitudes; algunos recursos para lograrlo incluyen seminarios, entrenamientos en línea, vídeos, correos electrónicos, posters y juegos. Este objetivo se debe cumplir a través de un proceso continuo a largo plazo y debe cuidarse de no saturar a los usuarios con demasiada información a la vez.
Algunos temas que se abordan en estos programas son: privacidad de la información, vulnerabilidades de software y hardware, códigos maliciosos como virus, gusanos, troyanos, software espía y los daños que pueden causar. Rhodes-Ousley menciona que un programa de concientización puede fracasar por varias razones, entre las cuales se encuentran la falta de incentivos para motivar la participación de los usuarios, así como la falta de mediciones para asegurarse que los usuarios están entendiendo el material y para evaluar su comportamiento en escenarios predeterminados.
En el trabajo de
Peltier también menciona que un programa de esta naturaleza debe buscar reducir pérdidas asociadas con la divulgación intencional o accidental de información, así como la modificación o destrucción de datos; de esta manera los usuarios mejorarán la eficiencia y la productividad en sus tareas.
Peltier recomienda que las sesiones de capacitación duren menos de cincuenta minutos, y se preparen con vocabulario adecuado a la audiencia para lograr mantener la atención y el interés de los asistentes. Las sesiones se pueden calendarizar durante las actividades regulares de los usuarios, pero cuidando de no interferir con las horas más ocupadas para ellos.
De acuerdo con
En este proceso los directivos tienen una tarea muy importante, pues deberían proveer los medios necesarios para promover una continua cultura de concientización sobre la seguridad informática. Además, deben asegurarse que existan los recursos económicos para que pueda ser implementado un programa permanente el cual apoye esta cultura entre todo el personal.
En las universidades la concientización tiene un rol importante para crear entre los estudiantes una percepción aguda sobre los riesgos de seguridad informática. Ellos son futuros profesionistas que pronto deberán hacer frente a las amenazas informáticas como parte de su vida profesional. Existen investigaciones que han identificado la importancia que la seguridad sea fomentada e investigada desde el ámbito universitario.
El trabajo de
En el trabajo de
En la investigación de
Por otra parte, se encontró que los alumnos en esa universidad reportaron una conducta informática más segura en los últimos años que al principio de la investigación. Este cambio positivo en sus hábitos se atribuye a la capacitación proactiva acerca de seguridad que los alumnos han estado recibiendo en sus clases regulares.
También encontraron que la gente joven es más proclive a compartir sus contraseñas con otras personas, y que los programas educativos sobre seguridad deberían incluir a las personas jóvenes como objetivo principal. En este contexto se subraya también que el conocimiento no es suficiente para cambiar las conductas peligrosas relacionadas con la ciber-seguridad, y se muestra evidencia que la capacitación debería promover también la concientización y no solo el conocimiento técnico si en realidad se desean eliminar las malas prácticas.
Los participantes de esta investigación fueron seis alumnos de segundo semestre de la Licenciatura en informática (LI) de la Facultad de Comercio, Administración y Ciencias Sociales (FCACS) de la Universidad Autónoma de Tamaulipas (UAT), en Nuevo Laredo. El estudio se realizó en el periodo de clases de primavera del año 2017, donde había 27 alumnos registrados en el segundo semestre de LI en la FCACS.
Aunque todos estuvieron presentes en algún momento del evento de capacitación se desestimaron las respuestas de once participantes, porque los alumnos no respondieron el cuestionario en alguno de los dos momentos en que se realizaron las mediciones. Esto ocurrió porque llegaron tarde, se retiraron antes de terminar el evento o salieron por algunos instantes.
Este estudio se realizó durante un evento de capacitación en ciber-seguridad, el cual duró cincuenta minutos y estuvo dirigido a los estudiantes de LI de la FCACS. El evento se llevó a cabo en las instalaciones de un centro de cómputo ubicado dentro de la misma facultad, y fue calendarizado durante el horario regular de clase de los alumnos, pero de manera separada a las materias que ellos cursaban en ese semestre.
Los profesores propusieron esta capacitación, atendiendo a las deficiencias que habían observado en los alumnos de los primeros semestres sobre el tema de seguridad informática. De no haberlo hecho se habrían ignorado severos riesgos para los alumnos y para los recursos de cómputo en la universidad que ellos usan regularmente. Los temas propuestos para la capacitación incluían: vulnerabilidades, virus, gusanos, troyanos, spyware, phishing, medios de prevención, diagnóstico y recuperación de eventualidades, así como también los conceptos de firewall, hackers y crackers.
Estos contenidos fueron impartidos de manera gratuita por un experto profesional externo a la universidad. El expositor estudió la licenciatura en informática y una maestría en tecnología informática. Además de tener experiencia docente resulta propietario de un negocio dedicado al desarrollo de software y al soporte técnico, el cual cuenta con un número importante de clientes en la localidad.
Los estudiantes tuvieron la oportunidad de escuchar la exposición sobre los temas con un enfoque ameno, práctico y aplicado. También pudieron interactuar haciendo preguntas y comentarios al expositor. En la sala se contó con suficientes asientos para los asistentes, clima artificial y un vídeo proyector para mostrar una presentación electrónica.
Para la recolección de datos se utilizó el cuestionario que se muestra en la
De tal manera en esta pregunta entre más grande fuera el valor numérico en la respuesta la fecha para que el alumno realizara su siguiente respaldo también era más lejana. Es importante destacar que la versión del cuestionario que se muestra en la
Fuente: elaboración propia.
Identificador
Pregunta
P1
¿Qué nivel de seguridad tienes en tus actividades de cómputo diarias?
P2
¿Qué nivel de conocimientos tienes sobre seguridad?
P3
¿Qué tan claras tienes las diferencias entre hacker y cracker?
P4
¿Qué tan claras tienes las diferencias entre gusano, troyano y spyware?
P5
¿Qué tanto sabes de phishing?
P6
¿Cuándo será el siguiente respaldo de tu información?
Primero los estudiantes fueron encuestados momentos antes de la capacitación. Posterior se llevó a cabo el desarrollo de los temas por parte del experto invitado e inmediatamente después se volvió a encuestar a los mismos alumnos con el objetivo de conocer el efecto de la capacitación que se les ofreció. En ambos momentos los cuestionarios fueron entregados a los alumnos en hojas blancas tamaño media carta con las preguntas y posibles respuestas impresas. Los participantes marcaron sus respuestas, utilizando los bolígrafos que se les facilitaron.
Se hizo un estudio experimental de un solo grupo con pre-test y post-test. Con este diseño de investigación es posible realizar una comparación de los mismos individuos antes y después de un tratamiento. La diferencia observada en ambos momentos es la medida de la influencia del tratamiento experimental (
En la
Fuente: elaboración propia.
Variable
Definición conceptual
Definición operacional y pregunta
Seguridad aplicada
Percepción del estudiante sobre el nivel de seguridad informática que aplica en sus tareas cotidianas
P1
Conocimientos sobre seguridad
Percepción del estudiante sobre el nivel de conocimientos de seguridad que posee
P2
Conocimiento sobre atacantes
Percepción del estudiante sobre el nivel con el que puede diferenciar a un hacker y a un cracker
P3
Conocimiento sobre amenazas de software
Percepción del estudiante sobre el nivel con el que puede diferenciar a un gusano, un troyano o un programa de spyware
P4
Conocimiento sobre phishing
Percepción del estudiante sobre el nivel de conocimientos que tiene acerca del phishing
P5
Tiempo para realizar respaldos de información
Tiempo en el cual el alumno piensa realizar su próximo respaldo de información
P6
Una vez recolectadas las respuestas de los alumnos, antes y después de la conferencia, estas se organizaron y se capturaron utilizando el software SPSS versión 22(
Para cada una de las preguntas de la
Las respuestas obtenidas en la aplicación del cuestionario antes de la conferencia se muestran en la
Fuente: elaboración propia.
P1
P2
P3
P4
P5
P6
Media
6.25
6.63
4.50
5.75
2.31
3.44
Desv. est.
2.463
1.360
2.449
2.769
2.869
2.529
Mediana
7.00
7.00
5.00
6.00
.50
4.00
Rango intercuartil
3
2
5
5
5
5
Fuente: elaboración propia.
P1
P2
P3
P4
P5
P6
Media
7.00
8.06
9.25
8.63
7.75
1.75
Desv. est.
2.129
1.389
.931
1.544
2.380
1.390
Mediana
8.00
8.50
9.50
9.00
8.00
3.00
Rango intercuartil
4
2
1
2
3
4
Fuente: elaboración propia.
P1
P2
P3
P4
P5
P6
Z
-1.170
-3.096
-3.529
-3.022
-3.433
-2.547
PValor bilateral
.242
.002
.000
.003
.001
.011
Al realizar la prueba no paramétrica de Wilcoxon no se encontraron diferencias estadísticas significativas en la pregunta 1, lo cual era esperado, pues se refiere a las prácticas actuales en las actividades diarias de cómputo, las cuales no se modificarían inmediatamente después de una sesión de capacitación, sino hasta pasado algún tiempo.
En la pregunta 2 (¿qué nivel de conocimientos tienes sobre seguridad?) sí se encontraron diferencias estadísticas significativas, siendo la puntuación mayor después de la conferencia. Esto indica que los estudiantes percibieron que sus conocimientos aumentaron con el contenido que se abordó en el seminario.
También se establecieron diferencias estadísticas significativas en la pregunta 3 (¿qué tan claras tienes las diferencias entre hacker y cracker?), la pregunta 4 (¿qué tan claras tienes las diferencias entre gusano, troyano y spyware?) y la pregunta 5 (¿qué tanto sabes de phishing?). Estas preguntas hacían referencia a conceptos que se expusieron directamente durante la capacitación; por esta razón es comprensible que las puntuaciones mayores se hayan registrado después de esta.
Llama la atención que los estudiantes en su mayoría reportaron saber poco acerca del término phishing antes del evento al que asistieron. Estos hallazgos concuerdan con los de
En la pregunta 6 (¿cuándo será el siguiente respaldo de tu información?) también existieron diferencias entre las respuestas de los estudiantes. Es destacable que antes de la conferencia los alumnos tenían pensado realizar un respaldo de su información en un plazo mayor de tiempo, pero inmediatamente después de la conferencia los alumnos modificaron esta percepción y dijeron que su próximo respaldo lo harían en una fecha más cercana.
Con los resultados obtenidos se observó que los participantes, a pesar de ser estudiantes de la carrera profesional de licenciatura en informática, podrían tener un mayor nivel de seguridad en sus actividades cotidianas de cómputo. Esto tiene especial importancia en una época en la cual las redes e internet se utilizan con mucha frecuencia y la conectividad que ofrecen trae consigo amenazas latentes que los usuarios deben conocer para poder protegerse adecuadamente.
Se observó que el evento de capacitación incrementó la percepción de los estudiantes acerca de sus conocimientos en seguridad informática, y también los concientizó para tomar medidas inmediatas para proteger sus datos. Esto lo interpretamos como un efecto positivo que debe fortalecerse constantemente con actividades orientadas a mejorar la seguridad de los alumnos y de su información.
Si bien es cierto que nuestro trabajo expone la necesidad de contar con programas de capacitación y concientización sobre seguridad informática en las universidades deja al descubierto los beneficios de la existencia de este tipo de recursos; se deben tener en cuenta las limitaciones de nuestro estudio.
Al ser una evaluación preliminar, en esta investigación centramos nuestra atención en las percepciones de los estudiantes y no realizamos mediciones de sus conocimientos; tampoco evaluamos el efecto del evento de capacitación después de algún tiempo, ambas actividades quedan propuestas para la continuación de este trabajo.
De la misma manera que
En este artículo se presentaron los resultados de un estudio en el cual se destacó la importancia de la concientización y la capacitación en temas de seguridad informática. Se encontró que los conocimientos de los estudiantes de los primeros semestres de una carrera profesional en informática podrían incrementarse para su propio beneficio, y se observó que un evento de capacitación tuvo un efecto positivo en los participantes.
Concluimos que la implementación de un programa permanente con los objetivos de capacitar y concientizar a los estudiantes universitarios acerca de temas de seguridad informática sería benéfico para crear comunidades más seguras con usuarios más protegidos y con mayor conciencia de sus acciones.