Amigos del Club de Ciencias Forenses, esta semana presentamos el artículo “Investigating and comparing the predictors of the intention towards taking security measures against malware, scams and cybercrime in general” de Martens M., De Wolf R. y De Marez L. (2019), en el cual se pretende entender qué hace que las personas tomen medidas de protección contra el cibercrimen.

Desde ya hace bastantes años, vivimos en una sociedad hiperconectada en red a través de la tecnología informática (TI). Hacemos transacciones online, socializamos, compramos y hacemos uso de todo tipo de servicios de computación en la nube.

La mayor importancia de la TI también conlleva riesgos importantes. Todos los años ocurren topo tipo de cibercrímenes y están en aumento. El cibercrimen es un concepto general que describe diferentes amenazas online. Las más importantes son el malware, las estafas digitales (scam) y la piratería digital (hacking).

El cibercrimen está presente en la agenda gubernamental y también es un objetivo a erradicar para grupos civiles o jugadores de la industria de TI. Aun así, el cibercrimen está en fase creciente y atenderla se vuelve cada vez más urgente.

Para una protección eficaz, cada usuario de TI debe protegerse de ello. Si los usuarios no utilizan adecuadamente medidas de seguridad, entonces las herramientas existentes para ello no sirven de nada. Aun así, más que culpabilizar a los usuarios individuales, hace falta entender la motivación para protegerse de ello.

Poco se conoce sobre la motivación de protegerse en contextos de TI. Por eso, los autores de este estudio investigan las variables que influyen en la intención de protegerse. Para ello, parten de la Teoría de Motivación para la Protección (Protección Motivation Theory, PMT) que explicaremos más adelante.

Los estudios anteriores en el tema se enfocan mayoritariamente en un tipo de cibercrimen. En cambio, este estudio también atiende a comparaciones entre ellos. Específicamente, se analiza el malware, los scams y el cibercrimen en general. Asimismo, se analiza si hay diferencias motivacionales para protegerse ante el malware y los scams.

El malware hace referencia a softwares que alteran el funcionamiento normal de un dispositivo. Se incluyen aquí troyanos, gusanos y diferentes virus informáticos. Para eliminarlos se requieren conocimientos técnicos. Por tanto, por sus características se consideran cibercrímenes técnicos.

Los scams o estafas digitales son acciones engañosas dirigidas a obtener información o dinero. Se engaña a los usuarios, se obtiene información personal de ellos y se les roba la identidad digital. Las estafas digitales se basan en errores humanos e ingeniería social para conseguir información de las víctimas. Por ello, los scams se consideran cibercrímenes sociales.

La PMT (Rogers, 1975) se ha utilizado para explicar los comportamientos de protección ante riesgos en el contexto de la salud. Recientemente, también se ha visto útil para explicar los mismos comportamientos en el contexto del cibercrimen.

Esta teoría se divide en tres procesos consecutivos, tres fases, y cada una de ellas predice a la siguiente. Estos procesos secuenciales deben darse para llevar a cabo comportamiento de protección.

El primer proceso de la PMT, el procesamiento de la fuente de información, se basa en la conciencia de seguridad. Siendo un término un tanto amplio, muchos autores dividen este concepto en conciencia de amenaza y conciencia de afrontamiento. La primera se refiere a saber qué amenazas existen. La segunda hace referencia en ser consciente de qué medidas existen para protegerse ante esas amenazas.

El segundo proceso de la PMT, el proceso de mediación cognitiva, se divide en dos áreas, cada una de ellas con dos características. Un área es la evaluación de la amenaza, con un rol clave en el moldeamiento de la motivación a protegerse. Sus características (o componentes) son la gravedad percibida y la vulnerabilidad percibida.

La gravedad percibida es hasta qué punto cree una persona que las consecuencias de la amenaza serán dañinas. La vulnerabilidad percibida es la percepción de la vulnerabilidad propia a ser víctima de una amenaza concreta. Ambas, según la PMT, motivan y generan actitudes de protección ante las amenazas detectadas.

El segundo área de este proceso es la evaluación de las estrategias de afrontamiento. Se define por eficacia de respuesta, autoeficacia y coste de respuesta. La eficacia de la respuesta representa la efectividad de una medida de protección ante un cibercrimen específico. La autoeficacia es la sensación de ser capaz de implementar métodos de protección. Se considera que ambas van a motivar comportamientos de protección. El coste de respuesta se excluye del análisis porque es difícil de operacionalizar y prescindible para estudiar la motivación.

Estos dos procesos son predictores de actitudes que promueven los comportamientos de protección. Estas actitudes, junto con normas subjetivas, predicen el tercer proceso de la PMT, la intención de implementar métodos de protección.

Son los autores del estudio los que añaden las normas subjetivas al modelo, considerándolas altamente importantes. Se refieren a qué creemos que otros (importantes para nosotros) quieren que hagamos. Esas percepciones las convertimos en normas personales. Se ha observado en muchos estudios que predicen el comportamiento e influyen en nuestras intenciones.

Para verificar la validez de este modelo y de sus modificaciones se aplica un cuestionario digital con medidas de todos los constructos mencionados. Participan 1181 personas, tanto hombres como mujeres, con heterogeneidad suficiente en edad y nivel educativo.

Los resultados mostraron que las normas subjetivas representan un predictor muy potente para la intención a implementar métodos de protección. Lo más importante es que tienen mayor fuerza predictiva que las actitudes resultantes de las dos primeras fases de la PMT.

Además, se observó que las actitudes promotoras de comportamiento de protección se construyen de manera diferente para los malwares que para los scams. Las diferencias se dan en las transiciones desde la fuente de información hacia los procesos de mediación cognitiva.

A mayor consciencia sobre la presencia de malwares, mayor percepción sobre la gravedad de estos. Lo mismo ocurre con la percepción de la propia vulnerabilidad ante estas amenazas. Dado que esto solo se observa en el caso del malware, probablemente sea por la complejidad técnica que requieren las respuestas de protección.

Además de que la protección ante scams no muestra los mismos predictores, también se observa una relación inversa. Cuanta mayor consciencia de amenazas tipo scam, menor sensación de vulnerabilidad. Esto puede deberse a un sesgo optimista. Cuando las personas detectan scams fácilmente, podrían sentirse como expertos. Esta sensación sesgada provocaría una sobreestimación de sus habilidades para afrontarlo y de la probabilidad de ser víctima de ello.

Ser consciente de las amenazas predice el desarrollo de respuestas más eficaces y de mayor sensación de auto-eficacia. Asimismo, ser consciente de las capacidades y/o herramientas de afrontamiento de las amenazas permite desarrollar respuestas eficaces de protección. No obstante, esto ocurre más cuando se trata de respuestas ante malwares y menos ante scams. Una vez más, las características técnicas pueden explicar estos resultados.

A modo general, total las variables del modelo han correlacionado en mayor o menor medida. El modelo planteado por los autores muestra, en términos estadísticos, un buen nivel predictor de las intenciones a implementar medidas de protección ante el cibercrimen.

Como usuarios de internet, tenemos a disposición diferentes herramientas para protegernos de las amenazas del cibercrimen. Asimismo, hay actividades cibercriminales que requieren un mayor nivel de protección que el que un individuo sea capaz de establecer.

Asimismo, no estaría de más que las políticas públicas inviertan en campañas de concienciación. Como hemos observado, ser consciente de las amenazas es el primer paso imprescindible hacia la protección. Además, hace falta diferenciar entre tipos de cibercrimen, tanto para el estudio, como para la intervención y prevención.

Si te interesan temas como este tipo de crimen y otros, podrás conocer más detalles sobre ello en las IV Jornadas De Perfilación Criminal, dónde se reúnen varios expertos internacionales. ¡No te lo pierdas! Además de las IV Jornadas De Perfilación Criminal, puedes aprender más en nuestro Máster en Criminal Profiling  y nuestro Experto Universitario en Investigación Criminológica.