Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles

Transcripción

1 Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles Informe anual 2009 (11ª oleada) OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

2 Edición: Abril 2010 El informe de la 11ª oleada del Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Información de INTECO: Pablo Pérez San-José (dirección) Susana de la Fuente Rodríguez (coordinación) Laura García Pérez Javier Rey Perille Héctor René Suárez Suárez INTECO quiere señalar la participación en la realización del trabajo de campo e investigación de este estudio de: La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para Estudio ampliar sobre información la seguridad sobre de la la información construcción y la de e-confianza documentos de los PDF hogares accesibles españoles puede (Informe consultar anual la guía 2009)Página disponible 2 en de la 119 sección Observatorio Accesibilidad de la Seguridad > Formación de > la Manuales Información y Guías de la página

3 ÍNDICE ÍNDICE...3 PUNTOS CLAVE...7 I Medidas y hábitos de seguridad...7 II Incidencias de seguridad...7 III Consecuencias de las incidencias de seguridad y reacción de los usuarios ante ellas 8 IV e-confianza de los hogares españoles INTRODUCCIÓN Y OBJETIVOS Presentación Instituto Nacional de Tecnologías de la Comunicación Estudio sobre la seguridad de la información y e-confianza en los hogares españoles Objetivo general Objetivos específicos DISEÑO METODOLÓGICO MEDIDAS Y HÁBITOS DE SEGURIDAD Medidas de seguridad Medidas automatizables y no automatizables: nivel de implantación y evolución Estimaciones a futuro Motivos alegados para no utilizar medidas de seguridad Frecuencia de actualización y aplicación Hábitos seguros de comportamiento en Internet...29 Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 3 de 119

4 3.2.1 Navegación por Internet Correo electrónico Chats y mensajería instantánea Banca en línea y comercio electrónico Redes P2P Redes sociales Hábitos de seguridad en hogares con menores INCIDENCIAS DE SEGURIDAD Incidencias de seguridad por malware o código malicioso: conceptos previos Incidencias detectadas Evolución de las incidencias de malware Tipología del código malicioso detectado Evolución entre 2007 y 2009 del número de equipos que alojan malware y del número de equipos en función de la tipología del malware Diversificación del código malicioso detectado Peligrosidad del código malicioso y riesgo del equipo CONSECUENCIAS DE LAS INCIDENCIAS DE SEGURIDAD Y REACCIÓN DE LOS USUARIOS ANTE ELLAS Consecuencias de las incidencias de seguridad Cambios adoptados tras una incidencia de seguridad Cambios en las medidas o herramientas de seguridad Cambios en el uso de servicios de Internet Resolución de incidentes de seguridad E-CONFIANZA DE LOS HOGARES ESPAÑOLES e-confianza en la Sociedad de la Información...63 Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 4 de 119

5 6.2 Evolución de la percepción de la seguridad en Internet por parte de los usuarios Autorregulación vs. Tutelaje Usuarios Papel de la administración en la garantía de la Seguridad de la Información Papel de otros actores en la garantía de la seguridad de la información SISTEMA DE INDICADORES DE LA SEGURIDAD DE LA INFORMACIÓN Estructura y objetivos del sistema Análisis de los indicadores de la seguridad de la información Indicador de herramientas y medidas de seguridad Indicador de conductas y hábitos de seguridad Indicador de e-confianza Indicador de incidencias de malware Indicador de ordenadores con riesgo alto Indicador de ordenadores con diseminación potencial alta CONCLUSIONES ANALISIS PROSPECTIVO: EL ESTADO DE SEGURIDAD EN ANEXO I: DISEÑO METODOLÓGICO DETALLADO I Universo II Tamaño y distribución muestral III Captura de información IV Trabajo de campo V Error muestral VI Consistencia y robustez de la muestra ÍNDICE DE GRÁFICOS Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 5 de 119

6 ÍNDICE DE TABLAS ÍNDICE DE ILUSTRACIONES Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 6 de 119

7 PUNTOS CLAVE El presente informe constituye una nueva entrega del Estudio sobre la seguridad de la información y e-confianza en los hogares españoles. Gracias a la realización de encuestas periódicas y al análisis online de los equipos que componen la muestra, el informe permite realizar, con una perspectiva evolutiva, un diagnóstico de la situación de los hogares españoles conectados a Internet en lo que respecta a la seguridad de la información y e-confianza. El período analizado en este documento abarca, por un lado, los meses de octubre a diciembre de Durante este tiempo se han realizado encuestas y análisis online a los equipos que componen el panel. Por otro lado, se ofrece un diagnóstico anual que comprende los cuatro trimestres de 2009, así como un análisis evolutivo que compara los resultados de 2009 con los datos de años anteriores. Se exponen a continuación los puntos clave del análisis. I Medidas y hábitos de seguridad En el cuarto trimestre de 2009, las tres medidas más adoptadas por los usuarios de Internet españoles son, según sus declaraciones, los programas antivirus (92,1%), las actualizaciones del sistema operativo y resto de programas (80,8%) y los cortafuegos (80,6%). El análisis evolutivo desde el año 2006 (momento de la primera toma de datos de esta serie) sugiere una mejora en la adopción de todas las medidas y buenas prácticas analizadas, con la única excepción de los programas antivirus, que se mantienen estables (su implantación generalizada con niveles superiores al 90% es motivo de variaciones muy ligeras en uno u otro sentido). Los mayores incrementos se producen en las actualizaciones del sistema operativo y programas instalados en el equipo (35 puntos porcentuales de aumento entre 2006 y 2009), el uso de contraseñas (34,5) o la realización de copias de seguridad (31,4). El salto se produce entre 2008 y Estos aumentos espectaculares pueden responder a la mayor sensibilidad del ciudadano a la problemática de explotación de vulnerabilidades y accesos indebidos a la información. II Incidencias de seguridad En diciembre de 2009 el porcentaje de equipos comprometidos se estabiliza en el 54,7% (según datos obtenidos a través de análisis remotos de seguridad realizados a los equipos panelizados), cerrando el año con un mínimo anual e histórico. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 7 de 119

8 Desde 2007, la tendencia en el nivel de infección de los equipos domésticos españoles ha sido claramente descendente: el análisis se inicia con un 78,2% de equipos comprometidos en enero de 2007, pasando al 81,6% en diciembre de ese mismo año, y cerrando 2008 con un 68,1%. En verano de 2008 se alcanzaron, entre los meses de julio y octubre, picos históricos de un 85% de infección. El año 2009 ha marcado una tendencia decreciente que culmina con un mínimo de 54,7% de ordenadores con malware en diciembre. En diciembre de 2009 se mantiene el tipo troyano como el más habitual en los equipos, con un 35,6% de ordenadores donde se ha encontrado código malicioso de esta categoría. El adware, con un 29%, se posiciona como segundo tipo más frecuente. Las herramientas son la tercera categoría que presenta un nivel de incidencia considerable (un 23,7%). Por detrás de ellos, y con tasas de infección ciertamente reducidas, se encuentran los gusanos (3,3%), las detecciones por heurística (3%), los espías (1,2%) y los virus (0,7%). El 37,3% de los equipos analizados está infectado por malware de riesgo alto en diciembre de Se trata del nivel más bajo registrado en todo el año. El 11,3% contiene código malicioso de peligrosidad media, y un 6,1% alberga únicamente código de riesgo bajo. El 45,3% restante son ordenadores sin riesgo (no infectados). III Consecuencias de las incidencias de seguridad y reacción de los usuarios ante ellas Tras experimentar una incidencia de seguridad, los usuarios tienden mayoritariamente a actualizar el/los programa/s de seguridad instalados en su ordenador (un 47,8%) y a cambiar las contraseñas (46,4%). Por detrás de estas reacciones, la realización de copias de seguridad de los archivos (25,4%) y el cambio de los programas de seguridad (23,3%) son opciones consideradas en cierta medida. La instalación de una herramienta de seguridad por primera vez es una respuesta minoritaria (8,9%). Los cambios en el uso de servicios de Internet son adoptados en mucha menor medida que las modificaciones de medidas o herramientas de seguridad. Son muy pocos los encuestados que dejan de usar los servicios online después de sufrir un incidente de seguridad, ya sea compras en línea (7,1%), servicios banca electrónica (5%) y correo electrónico, chats, redes sociales, etc. (5,1%). La mayor tasa de mayor abandono en el cuarto trimestre de 2009 se da en las redes P2P: un 11,3% de los usuarios deja de descargar archivos en redes peer to peer tras sufrir un incidente de seguridad. Se confirma la autonomía de los usuarios de Internet españoles a la hora de solucionar las incidencias de seguridad. Un mayoritario 43,1% (en ascenso desde el segundo trimestre de 2009) sabe dónde consultar la información que necesita para diagnosticar y resolver sus incidencias. También muestran un comportamiento autónomo, aunque en Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 8 de 119

9 menor medida, el 16,7% de ciudadanos que afirma ser capaz de resolver los problemas, si cuenta con la orientación de alguien más experto. Más dependientes se manifiestan el 27,9% que pide a un amigo o familiar que le resuelva el problema, y el 12,3% que lleva su equipo al servicio técnico (se trata del dato más bajo desde el segundo trimestre de 2009). IV e-confianza de los hogares españoles Al 45,4% de los encuestados, Internet les ofrece mucha o bastante confianza, mientras que solo un 9,3% de ciudadanos reconoce tener poca confianza hacia Internet, y un 0,7% admite no tener ninguna confianza. Mayoritariamente (81,9%) los usuarios domésticos se muestran de acuerdo con la afirmación Considero que mi ordenador está razonablemente protegido en el 4º trimestre de 2009, lo que supone un incremento de casi 3 puntos porcentuales con respecto al dato del primer trimestre del año. Un 81,6% de los ciudadanos opina en el cuarto trimestre de 2009 que la Administración tiene que seguir implicándose en mejorar la seguridad en Internet. La medida más demandada a la Administración es vigilar más de cerca lo que está pasando en Internet, con un 27% de las menciones. Por detrás de ella, la oferta de herramientas gratuitas de seguridad (26,8%) se coloca en segundo lugar. La reforma legislativa es la medida prioritaria para un 12,7% de usuarios, la atención por el uso adecuado de los datos personales en Internet lo es para un 9,3% y la mayor coordinación entre administraciones es mencionada por un 9,1%.. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 9 de 119

10 1 INTRODUCCIÓN Y OBJETIVOS 1.1 Presentación Instituto Nacional de Tecnologías de la Comunicación. El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. INTECO es un centro de desarrollo de carácter innovador y de interés público de ámbito nacional que se orienta a la aportación de valor, a la industria y a los usuarios, y a la difusión de las nuevas tecnologías de la información y la comunicación (TIC) en España, en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las TIC, basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) con su Centro Demostrador de Tecnologías de Seguridad, y la Oficina de Seguridad del Internauta, de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico. Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 10 de 119

11 usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP. Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software. Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria El se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica. Nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza. El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos. Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias: Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 11 de 119

12 Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional. Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal. Impulso de proyectos de investigación en materia de seguridad TIC. Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información. Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito. 1.2 Estudio sobre la seguridad de la información y e-confianza en los hogares españoles El Estudio sobre la seguridad de la información y e-confianza en los hogares españoles es el referente nacional, en términos de diagnóstico, del estado de adopción de medidas de seguridad y del nivel de incidencia de situaciones que pueden constituir riesgos de seguridad, así como del grado de confianza que los hogares españoles depositan en la Sociedad de la Información. El presente informe constituye la undécima entrega del mismo. El estudio cuenta con dos particularidades, que lo convierten en material de referencia en seguridad de la información a nivel nacional e internacional: En primer lugar, la investigación se realiza con una perspectiva evolutiva, realizándose lecturas periódicas de los indicadores de seguridad y e-confianza que permiten llevar a cabo un análisis histórico y definir tendencias y pronósticos. En segundo lugar, los resultados del estudio proceden de una doble fuente, poniendo en contraste la percepción del usuario y la situación de seguridad real Objetivo general El objetivo general de este estudio es el análisis, basado en las percepciones de los usuarios, de la evolución de la situación de seguridad de la información y confianza entre los usuarios de Internet españoles, al mismo tiempo que el contraste con el nivel real de seguridad e incidencias que mantienen sus equipos. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 12 de 119

13 Todo ello, con el fin de impulsar el conocimiento y seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la e- confianza. Así, el informe pretende servir de apoyo en la adopción de medidas por parte de la Administración. Este objetivo general se desglosa a su vez en dos: Analizar hasta qué punto la falta de seguridad de la Red puede suponer un freno para el desarrollo de la Sociedad de la Información. Orientar iniciativas y políticas públicas tanto en el área de la mejora individual de la seguridad como en la generación de confianza en la Sociedad de la Información, sustentada en una percepción realista de los riesgos y los beneficios de la misma Objetivos específicos Los anteriores se desglosan operativamente en los siguientes objetivos específicos que permiten, además, orientar la estructura temática del presente informe: Medidas y hábitos de seguridad Conocer el nivel de implantación actual de las medidas de seguridad automatizables y no automatizables y analizar su evolución temporal. Analizar la frecuencia con la que los usuarios de Internet aplican y actualizan las herramientas de seguridad de sus equipos. Conocer los motivos que los ciudadanos argumentan para no utilizar medidas de seguridad. Establecer pronósticos sobre la implantación futura de herramientas de seguridad. Identificar hábitos seguros de comportamiento seguidos por los usuarios españoles de Internet y el grado de adopción de los mismos. Incidencias de seguridad Conocer la frecuencia con la que los usuarios declaran padecer incidencias de seguridad en sus equipos. Determinar la evolución del nivel de incidencia general del código malicioso o malware y definir sus diferentes categorías: virus informáticos, troyanos, gusanos, programas espía, etc. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 13 de 119

14 Analizar la diversificación del código malicioso actual, a partir de la existencia de variantes únicas y del número de detecciones en los equipos. Catalogar los tipos de malware más frecuentes y la gravedad de los mismos. Conocer la reacción de los usuarios ante una incidencia de seguridad. Percepción de seguridad y e-confianza de los hogares españoles Determinar el nivel de confianza electrónica desde el punto de vista de los usuarios, así como su tendencia de evolución. Analizar en qué medida la seguridad afecta a la utilización de nuevos servicios. Señalar los principales agentes responsables de la seguridad en Internet y colaborar con ellos para ayudar a garantizar el estado de protección de los usuarios. Estudiar las demandas generales de los usuarios de Internet, hogares y ciudadanos, para el mejor desarrollo de una Sociedad de la Información segura y confiable. Sistema de indicadores Establecer un sistema de indicadores que permita monitorizar la evolución de la seguridad en el acceso a Internet desde los hogares. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 14 de 119

15 2 DISEÑO METODOLÓGICO El Estudio sobre la seguridad de la Información y la e-confianza de los hogares españoles se realiza a partir de una metodología basada en el panel online dedicado. En la definición de la metodología del estudio, se ha considerado una fórmula que permita obtener información, con una perspectiva evolutiva, relativa al nivel de seguridad y e-confianza de los hogares españoles. La necesidad de unos datos robustos sobre los mismos hogares y usuarios en diferentes momentos del tiempo hace que el panel online dedicado resulte la metodología idónea para satisfacer los objetivos del proyecto. El presente informe constituye la undécima entrega del estudio, cuya primera lectura data de diciembre de En la actualidad el panel está compuesto por hogares con conexión a Internet repartidos por todo el territorio nacional. Sobre los miembros del panel se aplican dos técnicas diferenciadas, que permiten obtener dos tipos diferentes de información: Encuestas online a usuarios españoles de Internet mayores de 15 años con acceso frecuente desde el hogar, llevadas a cabo con una periodicidad trimestral. Los datos extraídos de las encuestas permiten obtener la percepción sobre la situación de la seguridad en Internet y nivel de e-confianza de los usuarios domésticos. En el período analizado en la presente entrega (4º trimestre de 2009), usuarios han respondido a la encuesta. De acuerdo con los criterios del muestreo aleatorio simple para variables dicotómicas en las que p=q=0,5 y para un nivel de confianza del 95,5%, el error muestral para n=3.640 es de ±1,66%. Auditoría remota online del nivel de seguridad real de los equipos informáticos existentes en los hogares, realizados mensualmente. Para ello, se utiliza el software iscan 1, desarrollado por INTECO, que analiza los sistemas y las incidencias de seguridad en los equipos gracias a la utilización conjunta de 46 motores antivirus. Este software se instala en los equipos y los analiza, detectando todo el malware residente en los mismos y recogiendo además datos del sistema operativo, de su estado de actualización y de las herramientas de seguridad instaladas. El programa informático remite esta información a INTECO, que la trata de manera anónima y agregada. La muestra en este cuarto trimestre de 2009 se compone de hogares que escanearon online su ordenador entre octubre y diciembre de El número total de análisis remotos de seguridad o escaneos realizados en el período ha sido En el Anexo I se incluye un apunte metodológico completo donde se explica de forma detallada el funcionamiento de iscan. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 15 de 119

16 La fortaleza de la metodología empleada se basa en dos pilares: Las lecturas periódicas (trimestrales en el caso de las encuestas y mensuales en el caso de los análisis online) permiten comparaciones evolutivas que identifican variaciones y tendencias. La combinación de medidas objetivas de incidencia con medidas subjetivas de percepción de seguridad y confianza en la Red garantiza el contraste entre la percepción sobre la seguridad que tienen los encuestados y la situación real de los equipos de los panelistas. El lector puede hallar una caracterización más detallada de la muestra y del software iscan en el anexo titulado Diseño metodológico detallado. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 16 de 119

17 3 MEDIDAS Y HÁBITOS DE SEGURIDAD El análisis de las medidas y hábitos de seguridad se inicia con una reflexión de Bruce Schneier: La seguridad es un proceso, no un producto. Los productos proporcionan algo de protección, pero la única manera de hacer negocios de forma efectiva en un mundo inseguro es establecer los procesos de forma que se reconozca la inherente inseguridad de los productos. El truco consiste en reducir el riesgo de exposición a pesar de los productos o parches. 2 Por tanto, unos hábitos de seguridad adecuados incluyen no sólo la adquisición, configuración y puesta en marcha de un producto que permita proteger la información de un sistema informático, sino que ineludiblemente implica un proceso de gestión del producto. Es en este proceso donde se demostrará la eficacia del producto y, por tanto, del nivel de protección que aporta. Dentro de esta concepción de seguridad como proceso se encuentran las mejoras constantes de las herramientas de seguridad (parches y actualizaciones de los productos principalmente), pero también mantenerse informado de las nuevas amenazas. Sería un error por parte del usuario creer que, una vez adquirido e instalado el producto en su equipo, ya está correctamente asegurado. Solo los usuarios que entiendan la seguridad como un proceso permanecerán protegidos en mayor medida incluso cuando el producto quede obsoleto o deje de ser eficaz. El producto es solo el comienzo de una cadena de acciones que requiere dedicación por parte del usuario. El siguiente apartado ofrece una visión global con respecto a las medidas (productos) y hábitos (procesos) de seguridad de los usuarios. 3.1 Medidas de seguridad En el análisis de las medidas de seguridad, se ofrece el contraste entre la opinión del usuario acerca de las medidas que cree tener instaladas en su equipo y los resultados ofrecidos por iscan, que ofrece una visión de las herramientas realmente implantadas. Esta información permite identificar el grado de familiarización de los panelistas con el equipamiento de su máquina. 2 Bruce Schneier (15 de mayo de 2000). Crypto-Gram Newsletter. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 17 de 119

18 3.1.1 Medidas automatizables y no automatizables: nivel de implantación y evolución En función del nivel de participación del usuario, las medidas de seguridad se clasifican en automatizables y no automatizables. Las medidas automatizables o de carácter pasivo son aquéllas que, por lo general, no requieren una actuación específica por parte del usuario, o cuya configuración permite una puesta en marcha automática. En general, se podrían considerar herramientas de seguridad en sentido estricto. Las medidas no automatizables o de carácter activo requieren la participación del usuario para su funcionamiento. Más que de herramientas, se trata de acciones llevadas a cabo por el usuario que redundan en una mayor seguridad (por ejemplo: utilización de contraseñas, realización de copias de seguridad, partición de disco duro, etc.). Tal y como se puede observar en la Tabla 1, se confirma un trimestre más la preferencia del usuario por las medidas automatizables. Las tres medidas más adoptadas por los usuarios de Internet españoles son los programas antivirus (92,1% de adopción declarada), las actualizaciones del sistema operativo y resto de programas (80,8%) y los cortafuegos (80,6%). Entre las medidas no automatizables con niveles de uso considerables, se encuentran la utilización de contraseñas para proteger equipos y documentos (79,4%) y la eliminación de los archivos temporales y cookies (78,6%). Qué beneficios aporta el uso de contraseñas para proteger equipos y documentos? El uso de contraseñas para proteger el acceso a la información es la piedra angular de la seguridad. Esta práctica supone la primera línea de defensa frente a accesos no deseados a cuentas de correo, perfiles de redes sociales y todo tipo de sistemas informáticos. Es importante destacar que tan importante es el uso de contraseñas como la solidez de las mismas. Esto implica el uso de contraseñas robustas (con una longitud mínima, compuesta por números, letras, símbolos ) y no obvias (relacionadas fácilmente con la persona que las emplea). Del mismo modo, hay que evitar la utilización de la misma contraseña para diferentes servicios. A través de la herramienta iscan, la Tabla 1 ofrece una visión de las herramientas que se encuentran realmente implantadas en los equipos en el momento del escaneo. El programa detecta la presencia de programas antivirus, las actualizaciones del sistema operativo y la utilización del equipo con permisos reducidos. Esto permite contrastar entre percepción del usuario y realidad. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 18 de 119

19 Los programas antivirus están instalados en un 86,2% de los equipos auditados; según declaraciones de los usuarios, en un 92,1%. El sistema operativo está efectivamente actualizado en un 67% de los ordenadores; según declaraciones de los usuarios, un 80,8%. Se utilizan permisos reducidos en un 18,3% de los equipos; según declaraciones de los usuarios, en un 35,1%. En los tres casos, existe una diferencia entre realidad y percepción del usuario, que percibe un mejor nivel de seguridad del que realmente disfruta. Tabla 1: Utilización declarada y real de medidas de seguridad automatizables y no automatizables 4T2009 (%) Medidas de seguridad 3 Declarado 4T 09 Real Dic. 09 Programas antivirus 92,1% 86,2% Actualizaciones del SO y programas 80,8% 67,0% Cortafuegos o firewall 80,6% Contraseñas (equipos y documentos) 79,4% Eliminación de archivos temporales y cookies 78,6% Programas de bloqueo de ventanas emergentes 73,8% Programas anti-spam 68,1% Programas anti-espía 64,5% Copias de seguridad de archivos 59,9% Copia discos de restauración del sistema 59,3% Partición del disco duro 49,1% Búsqueda información sobre seguridad informática 45,7% Programas de control parental 4 39,6% Programas anti-fraude 38,0% Utilización habitual con permisos reducidos 35,1% 18,3% Certificados digitales de firma electrónica 27,0% Cifrado de documentos o datos 19,9% DNI electrónico 16,4% Base: Total usuarios (n=3.640) Los gráficos siguientes comparan evolutivamente las tendencias de adopción de medidas de seguridad automatizables (Gráfico 1) y no automatizables (Gráfico 2) a lo largo de los cuatro trimestres de Las medidas automatizables aparecen sombreadas. 4 Los datos referentes a los programas de filtro de contenidos (control parental para menores) se presentan sobre la submuestra de usuarios con hijos menores que se conectan a Internet (19,5%). Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 19 de 119

20 Las medidas automatizables han contado siempre con el favor de los internautas, con niveles elevados de adopción. La utilización declarada de estas herramientas se mantiene en niveles constantes y elevados desde el inicio de la serie temporal, especialmente en el caso de antivirus (por encima del 90%), actualizaciones del sistema operativo y cortafuegos. Las medidas que experimentan una ligera tendencia creciente dentro del año 2009 son aquellas con menor tasa de adopción: sistemas de control parental y programas antifraude. Gráfico 1: Evolución de la utilización declarada de medidas de seguridad automatizables 5 (%) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1T 09 2T 09 3T 09 4T 09 92,1% 80,8% 80,6% 73,8% 68,1% 64,5% 39,6% 38,0% Programas antivirus Cortafuegos o firewall Programas anti-spam Programas anti-fraude Actualizaciones del SO y programas Programa de bloqueo de ventanas emergentes Programas anti-espía Programas de control parental Base: Total usuarios (n=3.640 en 4T09) Con respecto a las medidas no automatizables, tampoco se aprecian movimientos destacables a lo largo del En general, los niveles de adopción de cada una de ellas es, en el 4º trimestre de 2009, similar al que se registraba a principios de año, con excepción de la utilización de certificados digitales de firma electrónica, cuyo nivel de uso ha experimentado una tendencia creciente continuada a lo largo del año. Destaca el descenso en el último período en la búsqueda de información sobre seguridad informática y la utilización del DNI electrónico. En futuras lecturas se confirmará si estos datos son el inicio de una tendencia o muestran más bien una situación puntual. 5 Los datos referentes a los programas de filtro de contenidos (control parental para menores) se presentan sobre la submuestra de usuarios con hijos menores que se conectan a Internet (19,5%). Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 20 de 119

21 Gráfico 2: Evolución de la utilización declarada de medidas de seguridad no automatizables (%) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1T 09 2T 09 3T 09 4T 09 79,4% 78,6% 59,9% 59,3% 49,1% 45,7% 35,1% 27,0% 19,9% 16,4% Eliminación de archivos temporales y cookies Copias de seguridad de archivos Partición del disco duro Utilización habitual con permisos reducidos Certificados digitales de firma electrónica Base: Total usuarios (n=3.640 en 4T09) Contraseñas (equipos y documentos) Copia discos de restauración del sistema Búsqueda información sobre seguridad informática DNI electrónico Cifrado de documentos o datos Si el análisis del corto plazo (últimos cuatro trimestres) sugiere estabilidad en los niveles de adopción de medidas y buenas prácticas de seguridad, no ocurre lo mismo al trasladar el punto de partida al año 2006 (momento de la primera toma de datos de esta serie). Como se puede comprobar en la Tabla 2, se produce una mejora en la implantación de todas las medidas y buenas prácticas. La única medida que muestra una tendencia sin apenas variabilidad es el programa antivirus; su implantación generalizada es motivo de variaciones muy ligeras en uno u otro sentido. Los mayores incrementos en los valores se producen en las actualizaciones del sistema operativo y programas instalados en el equipo (35 puntos porcentuales de aumento entre 2006 y 2009), el uso de contraseñas (34,5) o la realización de copias de seguridad (31,4). El salto se produce entre 2008 y Estos aumentos espectaculares pueden responder a la mayor sensibilidad del ciudadano a la problemática de explotación de vulnerabilidades y accesos indebidos a la información. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 21 de 119

22 Tabla 2: Evolución de la utilización declarada de medidas de seguridad automatizables y no automatizables entre 2006 y 2009 (%) Medidas de seguridad Evolución Programas antivirus 94,4% 92,7% 88,0% 92,1% Actualizaciones del SO y programas 45,8% 49,5% 54,9% 80,8% Cortafuegos o firewall 65,3% 73,5% 71,4% 80,6% Contraseñas (equipos y documentos) 44,9% 47,4% 51,7% 79,4% Eliminación de archivos temporales y cookies 55,2% 58,5% 59,6% 78,6% Programas de bloqueo de ventanas emergentes 61,5% 66,7% 66,7% 73,8% Programas anti-spam 49,9% 52,7% 53,9% 68,1% Programas anti-espía 49,0% 53,3% 54,2% 64,5% Copias de seguridad de archivos 28,5% 32,0% 32,5% 59,9% Copia discos de restauración del sistema 18,6% 23,3% n.d. 59,3% Partición del disco duro 27,3% 30,6% 34,1% 49,1% Búsqueda información sobre seguridad informática n.d. n.d. n.d. 45,7% Programas de control parental 7 n.d. n.d. n.d. 39,6% Programas anti-fraude n.d. n.d. n.d. 38,0% Utilización habitual con permisos reducidos n.d. n.d. n.d. 35,1% Certificados digitales de firma electrónica n.d. n.d. n.d. 27,0% Cifrado de documentos o datos 6,9% 9,6% 12,5% 19,9% DNI electrónico n.d. n.d. n.d. 16,4% Estimaciones a futuro Se ha preguntado a los usuarios sobre sus intenciones de adoptar medidas de seguridad a tres meses vista. El Gráfico 3 analiza las intenciones a futuro sobre las medidas de seguridad automatizables. Las herramientas con mayor propósito de uso a corto plazo son los programas anti-fraude (el 22,2% de los encuestados reconoce tener intención de utilizarlos en los próximos 3 meses), seguidos de los programas de control parental (20,6%), programas anti-spam (13,9%) y anti-espías (13,4%). 6 Las medidas automatizables aparecen sombreadas. 7 Los datos referentes a los programas de filtro de contenidos (control parental para menores) se presentan sobre la submuestra de usuarios con hijos menores que se conectan a Internet (19,5%). Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 22 de 119

23 Gráfico 3: Intención declarada de uso de medidas de seguridad automatizables en los próximos 3 meses (datos del 4T 2009) (%) Programas antivirus Actualizaciones del SO y programas 80,8% 92,1% 11,7% 3,7% Cortafuegos o firewall 80,6% 7,8% Programa de bloqueo de ventanas emergentes 73,8% 11,7% Programas anti-spam 68,1% 13,9% Programas anti-espía 64,5% 13,4% Programas de control parental 39,6% 20,6% Programas anti-fraude 38,0% 22,2% En la actualidad 0% 20% 40% 60% 80% 100% En los próximos 3 meses Base: Total usuarios (n=3.640) En el Gráfico 4 se realiza el mismo análisis para las medidas de seguridad no automatizables. Los usuarios parecen tener una intención mayor de incorporarlas a corto plazo. Sobresale la estimación de utilización del DNI electrónico (33,0%). Otras medidas, como la búsqueda de información sobre seguridad informática (25,2%), el hábito de realizar copias de seguridad (23,2%) y los certificados digitales de firma electrónica (19,7%) siguen, en cuanto a previsión de uso, al DNI electrónico. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 23 de 119

24 Gráfico 4: Intención declarada de uso de medidas de seguridad no automatizables en los próximos 3 meses (datos del 4T 2009) (%) Contraseñas (equipos y documentos) Eliminación de archivos temporales y cookies 79,4% 78,6% 5,5% 14,0% Copias de seguridad de archivos Copia discos de restauración del sistema Partición del disco duro Búsqueda información sobre seguridad informática 59,9% 59,3% 49,1% 45,7% 23,2% 16,6% 15,8% 25,2% Utilización habitual con permisos reducidos Certificados digitales de firma electrónica Cifrado de documentos o datos DNI electrónico 35,1% 27,0% 19,9% 16,4% 13,4% 19,7% 17,8% 33,0% 0% 20% 40% 60% 80% 100% En la actualidad Base: Total usuarios (n=3.640) En los próximos 3 meses Motivos alegados para no utilizar medidas de seguridad A continuación se analizan los motivos que los encuestados manifiestan para no utilizar las medidas automatizables (Tabla 3) y las no automatizables (Tabla 4). Este análisis se realiza entre las personas que responden No creo que la utilice cuando se les pregunta sobre la utilización de las diferentes medidas y herramientas. En la primera columna se recoge el porcentaje de encuestados que constituye la base de cálculo para cada una de los útiles analizados 8. Para facilitar la lectura de las tablas, aparece en negrita el porcentaje del motivo señalado en mayor medida para cada una de las herramientas. Los resultados obtenidos para el caso de las medidas automatizables son: De entre los pocos que reconocen no tener intención de utilizar programas antivirus, el 42,5% de ellos afirma que es por considerarlo innecesario, un 11,2% alega como motivo el precio elevado y un 16,5% creen que entorpece el funcionamiento del ordenador. Un 29,7% de los que no tienen intención de utilizar la actualización del sistema operativo declaran que es el desconocimiento de la misma el principal motivo (ello 8 Se debe tener en cuenta que, cuanto menor es la base de cálculo, mayor es el margen de error, por lo que estos datos deben ser interpretados con cautela. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 24 de 119

25 a pesar de que la operación suele ser automática y transparente para el usuario, por lo que no es necesario conocimientos específicos para llevarla a cabo). Para mantener actualizados el resto de programas, sí puede llegar a ser necesario un mayor conocimiento de su funcionamiento. En el caso de los cortafuegos o firewall, el desconocimiento es el principal motivo (26,4%) para no utilizar esta medida. Otro motivo de peso para no usarlos es que el usuario considera que entorpecen el funcionamiento del ordenador (25,3%). La inmensa mayoría de navegadores actuales tienen integrado un bloqueador de ventanas emergentes que hace que el usuario no sienta la necesidad de uso de programas específicos para un problema que no percibe. De aquéllos que no los utilizan, el 34,8% es porque no sabe lo que es. Los principales motivos de rechazo de los programas anti-spam son que no los consideran necesarios (24,3%) y que desconocen lo que son (19,4%). Ante el hecho de que la mayoría de servidores de correo ya realizan un buen trabajo a la hora de filtrar el correo basura, el usuario puede considerar que añadir un filtro más puede entorpecer el trabajo sin apenas obtener mejoras en el filtrado. Los programas anti-espía son desconocidos por el 36,3% de los que no los utilizan. Después del desconocimiento, la sensación de entorpecimiento (16,6%), y de no necesidad (16,2%) es lo que más alegan los usuarios. En el caso de los programas de control parental un importante 48,5% de los usuarios con hijos menores que se conectan a Internet y que no utilizan estos programas no lo hacen porque creen que éstos son innecesarios. De aquellos usuarios que no utilizan programas anti-fraude un 45,3% declara como principal motivo para ello que desconocen lo que es. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 25 de 119

26 Tabla 3: Motivos para no aplicar medidas de seguridad automatizables 4T2009 (%) Medidas % hogares que no tienen intención de utilizar No conoce No necesita Precio Motivos Entorpecen Desconfía Ineficaces Otros Programas antivirus 4,2% 0,5 42,5 11,2 16,5 0,2 9,2 19,9 Actualizaciones del SO y programas 7,5% 29,7 8,3 16,0 18,8 2,6 5,5 19,0 Cortafuegos o firewall 11,6% 26,4 16,1 8,0 25,3 0,9 6,3 17,1 Programas de bloqueo de ventanas emergentes 14,5% 34,8 17,2 9,3 19,4 0,5 5,9 12,9 Programas anti-spam 18,1% 19,6 24,3 8,6 19,4 2,4 10,8 15,0 Programas anti-espía 22,1% 36,3 16,2 9,7 16,6 1,4 6,5 13,4 Programas de control parental 9 39,8% 9,1 48,5 3,8 11,8 0,1 8,7 18,0 Programas anti-fraude 39,8% 45,3 17,0 7,8 9,1 1,7 7,4 11,7 Base: Usuarios que no tienen intención de utilizar cada medida Mediante un análisis equivalente la Tabla 4 muestra los motivos alegados para no utilizar las medidas de seguridad no automatizables: Un 44,8% de los que dicen no eliminar archivos temporales declara que es por desconocimiento. Un 52,3% de usuarios que no utilizan contraseñas en su equipo afirma que no lo hace porque que no lo necesita. Aunque los discos de restauración del sistema son suministrados cuando se compra el equipo, el desconocimiento (32,4%) es una de las razones declaradas en mayor medida para no llevar a cabo la copia de los mismos. El desconocimiento vuelve a ser la causa en el no realizar copias de seguridad de archivos importantes (backup). Las personas que declaran no efectuarlas lo argumentan en un 32,3%. La mayoría de usuarios no sabe cómo realizar la partición del disco duro de forma segura, y mantiene el sistema tal y como fue adquirido. De hecho, es el desconocimiento de la medida lo que alega un 41,4%. 9 Los datos referentes a los programas de filtro de contenidos (control parental para menores) se presentan sobre la submuestra de usuarios con hijos menores que se conectan a Internet (19,5%). Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 26 de 119

27 También a la hora de justificar por qué los usuarios no tienen intención de buscar información sobre seguridad informática, el desconocimiento cobra un peso relevante (27,9%). La utilización habitual con permisos reducidos es una de las prácticas que más podrían llegar a proteger al usuario. Un elevado 51,5% ha confesado no tener intención de realizar esta práctica de seguridad y el 37,3% afirman no necesitarlo. La falta de conocimiento aparece como causa más señalada en la no utilización de certificados digitales de firma electrónica (46,4%). A la hora de analizar el DNI electrónico, No tengo DNI electrónico está dentro de las otras razones por las que los usuarios no utilizan esta herramienta. Un 45,1% desconoce lo que es el cifrado de documentos o datos. Tabla 4: Motivos para no aplicar medidas de seguridad no automatizables en 4T2009 (%) Medidas % hogares que no tienen intención de utilizar No conoce No necesita Precio Motivos Entorpecen Desconfía Ineficaces Otros Eliminación archivos temporales y cookies 7,4% 44,8 6,7 2,6 9,2 0,7 12,4 23,6 Contraseñas (equipos y documentos) 15,2% 8,1 52,3 1,1 12,7 0,3 6,6 19,0 Copia discos de restauración del sistema 16,9% 32,4 17,4 2,8 7,6 0,5 5,7 33,6 Copia de seguridad de archivos 24,1% 32,3 22,9 3,5 9,4 0,6 7,8 23,5 Búsqueda información sobre seguridad informática 29,1% 27,9 23,0 4,7 4,4 1,5 8,4 30,0 Partición del disco duro 35,1% 41,4 15,2 1,8 8,0 0,6 5,9 27,2 DNI electrónico 50,6% 20,6 21,5 3,4 3,1 5,2 6,9 39,2 Utilización habitual con permisos reducidos 51,5% 26,7 37,3 1,1 11,5 0,7 4,9 17,8 Certificados digitales de firma electrónica 53,3% 46,4 14,9 2,8 3,6 2,2 5,8 24,2 Cifrado de documentos o datos 62,3% 45,1 22,5 1,5 6,1 1,0 4,9 18,9 Base: Usuarios que no tienen intención de utilizar cada medida Frecuencia de actualización y aplicación La protección de un equipo no sólo queda garantizada con la instalación de determinados programas de seguridad, también es necesario que éstos sean convenientemente aplicados y actualizados de forma periódica, dado que, de no proceder así, uno continúa estando expuesto a numerosos riesgos. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 27 de 119

28 Con respecto a la actualización de los programas de seguridad, la actitud más frecuente entre los usuarios es dejar que sea su sistema operativo quien se encargue de realizar esta tarea automáticamente, siendo un 81,1% el porcentaje que se decanta por esta opción. Éste es un dato bastante consolidado durante todo el 2009, pues la misma tendencia se repite en los cuatro periodos analizados a lo largo del año. Una actitud más activa se desprende de un 12,5% de la población, al asumir una o varias veces al mes de forma personal esta función, siendo la frecuencia más elevada la de los que realizan actualizaciones varias veces al mes (8,7%). Por otra parte, es importante señalar que el porcentaje de usuarios que nunca realiza actualizaciones de sus programas de seguridad es prácticamente inexistente (pasando de un 2,4% a principios de 2009 a un 1,6% en el 4º trimestre). Gráfico 5: Evolución de la frecuencia declarada de comprobación de la actualización de herramientas de seguridad (%) 100% 90% 80% 2,4% 2,2% 2,2% 1,6% 4,8% 3,7% 4,0% 3,8% 9,2% 8,8% 9,0% 8,7% 70% 60% 50% 40% 79,3% 80,8% 80,3% 81,1% 30% 20% 10% 0% 1T 09 2T 09 3T 09 4T 09 Mi sistema operativo lo hace automáticamente Varias veces al mes Una vez al mes Una vez cada tres meses Con menor frecuencia Nunca Base: Total usuarios (n=3.640 en 4T09) En cuanto a la frecuencia de escaneo completo de los equipos con el programa antivirus con el fin de detectar posibles infecciones, sucede algo parecido. El Gráfico 6 muestra que el 61,3% confía esta labor a que su antivirus lo haga de manera automática, incrementándose esta alternativa en 5,4 puntos desde comienzos de año. Entre los que intervienen activamente en el escaneo, destacan los que escanean su ordenador varias veces al mes (14,9%) y varias veces al año (11,2%). Algo inferior es el porcentaje de usuarios que representan conductas más prudentes: un 2,5% escanea siempre que se conecta y un 5,4% varias veces a la semana. Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (Informe anual 2009)Página 28 de 119