Por otro lado, las tecnologías de la información y de la comunicación (TIC) se han convertido en un aspecto fundamental para todas las personas; hacen parte de su diario vivir, por ello, es común encontrar que una persona pueda tener tres o más dispositivos con acceso a internet, tales como tablets, computadores, celulares y, en general, dispositivos móviles. También existe una gran cantidad de aplicaciones y servicios a los que se ingresa frecuentemente, tales como portales bancarios, aplicaciones corporativas, páginas web, compras on line, redes sociales, entre otros. Esta facilidad de estar conectado con todo y con todos trae consigo el cuidado del cómo se accede a estos recursos, qué se comparte, con quién se establecen relaciones digitales y las operaciones o transacciones que se practican. En este sentido, de acuerdo con Unisys (2019), la preocupación de los colombianos frente a problemas de seguridad digital ha aumentado y es el más alto en los últimos seis años.

Según Unisys (2019), en Colombia, el 85 % de los ciudadanos han sido víctimas o conocen víctimas de algún tipo de delito o intento de delito informático. Mientras que a nivel global la preocupación por la seguridad digital es de 175 puntos, Colombia está 45 puntos por encima de la media global con 220 puntos sobre 300 posibles. De los países encuestados, Colombia es el segundo con la mayor preocupación por la seguridad informática, ubicada solo detrás de Filipinas.

En el mismo estudio de Unisys (2019), se puede observar cómo las personas más jóvenes están más preocupadas por su seguridad digital (jóvenes entre 18 y 24 años con un índice de 230 puntos) frente a personas mayores (55 a 65 años con un índice de 212 puntos). Asimismo, las personas que no cuentan con educación universitaria tienen un mayor grado de preocupación por su seguridad digital versus las personas que sí tienen algún grado de formación universitaria; 225 puntos frente a 215 puntos, respectivamente. Por último, se concluye que las personas que generan menos ingresos se preocupan más en este ámbito, frente a las personas con mayores ingresos, con 224 puntos contra 215 de quienes tienen mayores ingresos.

Desde la perspectiva financiera, en 2017 se presentaron 198 millones de incidentes informáticos en el país, es decir, 542 465 incidentes diarios, que representaron pérdidas por USD 6179 millones. El sector financiero se encontró en el primer lugar de los incidentes con 214 000 diarios, seguido del sector de las telecomunicaciones con 138 329 eventos, el Gobierno con 83 756 y el sector industrial con 51 263 (El Tiempo, 2017). Según lo anterior, las denuncias por delitos informáticos incrementaron en Colombia de 2017 a 2018 en un 36 %, de modo que es el artículo 269i (hurto por medios informáticos) del Código Penal colombiano el más denunciado, con 41 755 casos (Durán, 2019).

Según el informe anual sobre seguridad de Symantec, en Colombia uno de cada 328 correos electrónicos son maliciosos y una de cada 11 URLs en correos electrónicos también lo son; este mismo informe deja en descubierto que los empleados de organizaciones pequeñas tienen una posibilidad más alta de ser víctimas de correos electrónicos fraudulentos tipo spam, phishing y malware, frente a empleados de grandes corporaciones. El phishing pasó de uno de cada 2995 correos electrónicos en 2017 a uno de cada 3207 en 2018 (Symantec, 2019).

Entretanto, en 2018, hubo un crecimiento del 400 % de eventos de cryptojacking, comparado con los detectados en 2017. Por ello, la seguridad de los dispositivos móviles es un gran desafío para la industria tecnológica. En uno de
cada 36 dispositivos móviles, se instalaron aplicaciones
de alto riesgo, de modo que son las aplicaciones de herramientas (39,1 %), estilo de vida (14,9 %) y entretenimiento
(7,3 %) las que encabezan el ranking de las principales categorías en las que se aloja código malicioso; además, las infecciones con ransomware en móviles crecieron un 33 % respecto de 2017. En el mismo año, los delitos
informáticos más comunes fueron la estafa (compraventa por internet), malware, suplantación de identidad, phishing, vishing, amenazas a través de redes, smishing, publicación no autorizada de imágenes o videos, injuria y calumnia en redes sociales, sextorsión, ingeniería social, cyberbullying, carta nigeriana, defacement, ransomware, skimming, grooming, spoofing, turinet y DoS (por sus siglas en inglés). De los anteriores, los tres primeros delitos, según las denuncias,
son el malware con 1943 casos, seguido de la suplantación de identidad con 1277 casos y, en el tercer puesto, el vishing con 1271 casos (Symantec, 2019).

Ahora bien, es importante mencionar que, como cualquier otro ciudadano, el policía profesional o incluso los estudiantes del programa Técnico Profesional en Servicio de Policía que se imparte en la Escuela de Policía Simón Bolívar (ESBOL) (Tuluá, Valle del Cauca) están expuestos a diferentes modalidades de crímenes en el ámbito informático. Por eso, en esta unidad académica se imparte la cátedra Tecnologías Aplicadas al Servicio de Policía, que, dentro de su contenido programático, en la unidad 2, incluye temas referentes a la seguridad de la información.

Este artículo tuvo como propósito realizar una revisión sobre las prácticas de seguridad de la información aplicadas o instanciadas por el personal del Nivel Ejecutivo de la Policía Nacional de Colombia, para poder caracterizar algunas prácticas que pudieran ser etiquetadas como “buenas” y “malas”, y recomendar algunas estrategias para la consolidación de las buenas prácticas y la minimización de aquellas que fueron etiquetadas como malas o negativas.

Finalmente, el artículo se estructura de la siguiente manera: primero, se presentan trabajos que sustentaron la investigación desde el punto de vista conceptual, luego
la metodología de la investigación, más adelante los resultados y la discusión, y, por último, las conclusiones.

Trabajos relacionados

A continuación, se reseñan los principales documentos de referencia que sirvieron para la planificación y el desarrollo de la investigación, particularmente desde el componente metodológico en la medida en que cada trabajo revisado sirvió para la identificación de diferentes variables y, por tanto, la formulación de las diferentes preguntas
que fueron incluidas en el instrumento de recolección de información. La tabla 1 presenta el insumo utilizado para la identificación de cada una de las variables estudiadas durante la investigación.

Metodología

Según el problema expuesto y la revisión de la literatura, se planteó una investigación aplicada con enfoques cuantitativos y cualitativos; el primero para facilitar la generalización de resultados a toda la base de la Policía Nacional y el segundo para de poder responder a los problemas con propuestas desde la misma institución policial. La
investigación se desarrolló en tres fases: la fase de diseño de los instrumentos de recolección de información, la fase de aplicación de los instrumentos y la fase de análisis de la información recolectada.

La figura 1 sintetiza el marco metodológico utilizado.

Fase de diseño

Conocimientos sobre seguridad

La tabla 4 evidencia cómo tanto para profesionales como para estudiantes el promedio general sobre conocimientos
en seguridad es medio. Por otra parte, hay una coincidencia desde el punto de vista del desconocimiento de fraude en la modalidad de phishing, con una representación de profesionales del 36,84 % y de estudiantes del 32,91 %. Lo anterior permite señalar cómo desde el programa técnico de formación hay oportunidades de mejora respecto de la capacitación específica para prevenir estafas de esta naturaleza a su personal adjunto y, por supuesto, a los estudiantes. De igual modo, el hecho de tener en promedio un conocimiento medio sobre seguridad y a la vez estar expuesto a diversas tecnologías, como bien se señaló en la revisión de la variable Familiaridad computadoras o dispositivos, deja entrever la imperativa necesidad de fortalecer las habilidades de prevención en los diferentes actores de la comunidad académica de la ESBOL.

Prácticas de seguridad: aspectos tecnológicos

En la tabla 5, se puede apreciar que un 49,13 % y un 50,36 % de profesionales (P) y estudiantes (E), respectivamente, presentan buenas prácticas en cuanto a la conciencia
del manejo de la seguridad. Sin embargo, al confrontar estos datos versus el pensum académico de la ESBOL donde se ve un módulo de seguridad de la información, se observa que solo la mitad de los estudiantes tienen conciencia sobre la seguridad informática, lo cual invita a realizar un análisis sobre qué sucede con la otra mitad del estudiantado y, por supuesto, con el personal profesional adjunto al centro de formación. Lo anterior para dotar de herramientas a todo el personal en la medida en que el 47,83 % de todos los individuos que participaron de esta investigación manifestaron que los datos que almacenan en sus dispositivos tienen una sensibilidad alta o muy alta, y el 30,63 % utiliza conexiones directas tipo peer-to-peer para intercambiar archivos tales como películas y juegos.

Prácticas de seguridad: comportamiento de cuidado consciente de seguridad

Discusión

Como bien se señaló los resultados, actualmente en la ESBOL el 91 % de los individuos llevan cuatro años o menos en ella, es decir, que se formaron bajo un pensum que incluye la asignatura Tecnologías Aplicadas al Servicio de Policía. Por lo anterior, las discusiones respecto de los resultados claramente pueden comparar a estudiantes y a policías profesionales egresados relativamente hace poco tiempo, en la medida en que este pensum está vigente desde 2015 y que esta asignatura incluye algunas unidades referentes a la seguridad de la información.

Paralelamente, poder cursar estas unidades debería brindar una buena conciencia sobre la seguridad de la información personal, sin embargo, los resultados de las tablas 4 y 5 llaman la atención, puesto que para los estudiantes estos resultados en promedio no son buenos, lo cual
podría generar una evaluación en la forma como se aborda este curso y cómo los estudiantes están aprendiendo las técnicas enseñadas. De igual modo, para los profesionales, los promedios, desde el punto de vista de
conocimientos de seguridad y seguridad aplicada tampoco son los mejores, lo cual implica que también se deberían
promover programas de fortalecimiento o recapacitación en seguridad de la información para este personal.

Por otra parte, se puede deducir que tanto los computadores o en general cualquier dispositivo es usado indistintamente por estudiantes o policías profesionales, lo cual deja claro que cualquiera de ellos está expuesto a los riesgos que supone el uso de este tipo de tecnologías y, por tanto, es menester de la ESBOL como centro de formación continuar incluyendo en su currículo asignaturas relacionadas con la seguridad de la información.

En cuanto a capacitaciones al personal profesional en asuntos referentes a la seguridad de la información,
podría considerarse que estas capacitaciones deben considerar el origen de los participantes, en la medida en que, como bien lo señala la figura 3, las habilidades o los
conocimientos en esta materia parecen estar determinados por la región de procedencia de las personas.

En relación con los docentes a cargo del curso, aunque son efectivos en la capacitación de tecnologías y plataformas tecnologías que posee la Policía Nacional para soportar el servicio de seguridad a la ciudadanía, podría considerarse también programas de actualización constante en temáticas como la norma ISO 27001 y cursos de hacking ético, para soportar específicamente las sesiones referentes a la seguridad de la información. En otro caso, los requisitos en cuanto a estos perfeccionamientos no deberían ser opcionales en el perfil docente sino clasificatorios. Con eso podrían mejorarse los indicadores para futuras cohortes en la ESBOL.

Finalmente, solo considerar personal profesional del nivel ejecutivo y a estudiantes aspirantes a rangos de este
nivel podría ser una oportunidad para replicar este estudio no solo en individuos con estas características. Por el contrario, podría considerarse personal del rango de
oficiales o suboficiales, y de este modo mapear por completo las debilidades y fortalezas en materia de seguridad de la información de toda la Policía Nacional de Colombia.

Conclusiones

Se puede evidenciar cómo, a pesar de que en el programa Técnico Profesional en Servicios de Policía se abordan asuntos relacionados con la seguridad de la información, los promedios en cuestiones referentes a la conciencia de la seguridad informática no son buenos ni para estudiantes
ni para profesionales; dado lo anterior, estos resultados son preocupantes, ya que, como se puede evidenciar en la tabla 3, la familiaridad y el uso de computadores o dispositivos electrónicos es permanente en estudiantes y
profesionales. Además, contrastando esta información a la luz de los datos suministrados al inicio de este artículo, en el que se hace evidente el incremento en las diferentes modalidades de incidentes de seguridad informática, es bastante probable que profesionales de policía o estudiantes adscritos a la ESBOL puedan estar involucrados en algún incidente de esta naturaleza.

Por otro lado, gracias al enfoque metodológico usado en esta investigación, es totalmente viable poder, en primera instancia, desde la inferencia estadística, deducir las fortalezas y debilidades en el ámbito de la seguridad de la información de los policías profesionales adjuntos a los
diferentes centros de formación y, por supuesto, de
los estudiantes de estos centros. Sin embargo, en atención a que en los 14 centros de formación (excepto de la
ESBOL) pertenecientes a la Dirección Nacional de Escuelas
(DINAE) se forma a jóvenes de diferentes departamentos del país y, por tanto, con diferentes costumbres y culturas dominantes, sería necesario replicar este estudio para
mapear por completo las prácticas desde el punto de vista de seguridad de la información de la base de la Policía
Nacional de Colombia, es decir, de su nivel ejecutivo en todos sus rangos. Lo anterior se justifica en la medida en que, para el caso de la ESBOL, que tiene como cobertura gran parte del suroccidente del país (Valle, Cauca y Nariño), la variable sobre alfabetización informática obtuvo valores dispersos en sus diferentes categorías, según la figura 3.

Finalmente, aunque en la sección de discusión se planteó un trabajo futuro desde el punto de vista de replicar el estudio a todas las escuelas de policía del país, podría resultar interesante realizar este ejercicios en instituciones de educación superior (IES) por fuera del régimen policial, siempre y cuando se considere, en primera instancia, la necesidad de mapear en la futura población objeto de estudio información sobre alfabetización informática, cultura digital y, en general, elementos que determinan las buenas o malas prácticas en el ámbito de la seguridad de la información.

Agradecimientos

Agradecemos el apoyo de todo el personal de la Escuela de Policía Simón Bolívar por su diligencia a la hora
de responder el cuestionario enviado por medio digital. De igual modo, al Programa Interinstitucional para el
Fortalecimiento de la Investigación y el Posgrado del
Pacífico por facilitar la movilidad internacional de la estudiante Mariela Medina Morales, quien contribuyó con el trabajo de campo necesario para este trabajo. Finalmente, a la estudiante Laura Romero del programa de Ingeniería de Sistemas de la Universidad del Valle, sede Tuluá, por su ayuda como monitora de la investigación.

Conflictos de interés

Todos los autores de este artículo manifestamos que no existe ningún conflicto de interés ni conflictos éticos.

Referencias

Adams, A., Sasse, M. A. & Lunt, P. (1997). Making passwords secure and usable. En H. Thimbleby, B. O’Conaill y P. J. Thomas (Eds.), People and computers XII (pp. 1-19). Londres, RU: Springer. http://dx.doi.org/10.1007/978-1-4471-3601-9_1

Castillejos López, B., Torres Gastelú, C. A. y Lagunes Domínguez, A. (2016). La seguridad en las competencias digitales de los millennials. Apertura, 8(2), 54-69.

Deloitte. (2017). Consumo móvil en Colombia: los móviles prueban ser indispensables en un mundo “siempre” conectado. Recuperado de https://www2.deloitte.com/content/dam/Deloitte/co/Documents/technology-media-telecommunications/Consumo %20movil(VF1).pdf

Durán Santos, A. U. (2019). Contexto del ciber crimen en Colombia. Centro Cibernético Policial. Recuperado de https://docplayer.es/125813772-Centro-cibernetico-policial.html

El Tiempo. (2017, septiembre 27). A diario se registran 542.465 ataques informáticos en Colombia. Recuperado de https://www.eltiempo.com/tecnosfera/novedades-tecnologia/informe-sobre-ataques-informaticos-en-colombia-y-al-sector-financiero-135370

Furnell, S. & Clarke, N. (2012). Power to the people? The evolving recognition of human aspects of security. Computers & Security, 31(8), 983-988. http://dx.doi.org/10.1016/j.cose.2012.08.004

Hernández, R., Ventura, R. y Juárez Ibarra, C. M. (2018). Concientización y capacitación para incrementar la seguridad informática en estudiantes universitarios. PAAKAT: Revista de Tecnología y Sociedad, 8(14). http://dx.doi.org/10.18381/pk.a8n14.318

Mieres, J. (2009). Buenas prácticas en seguridad informática. ESET Latinoamérica. Recuperado de https://www.welivesecurity.com/wp-content/uploads/2014/01/buenas_practicas_seguridad_informatica.pdf

Muzammal, S. M., Shah, M. A., Zhang, S. J. & Yang, H. J. (2016). Conceivable security risks and authentication techniques for smart devices: A comparative evaluation of security practices. International Journal of Automation and Computing, 13(4), 350-363. http://dx.doi.org/10.1007/s11633-016-1011-5

Pattinson, M., Jerram, C., Parsons, K., McCormac, A., & Butavicius, M. (2012). Why do some people manage phishing e-mails better than others? Information Management & Computer Security, 20(1), 18-28. http://dx.doi.org/10.1108/09685221211219173

Porras Niño, F. H. (2018). Sistemas de gestión de la seguridad de la información (Universitat Oberta de Catalunya, Catalunya, España). Recuperado de http://openaccess.uoc.edu/webapps/o2/handle/10609/81125

Portafolio. (2019, marzo 26). Colombianos hacen sus compras en internet desde el computador. Recuperado de https://www.portafolio.co/negocios/colombianos-prefieren-el-computador-para-hacer-compras-on line-527870

Rhee, H. S., Kim, C. & Ryu, Y. U. (2009). Self-efficacy in information security: Its influence on end users’ information security practice behavior. Computers & Security, 28(8), 816-826. http://dx.doi.org/10.1016/j.cose.2009.05.008

Symantec. (2019). Informe sobre las amenazas para la seguridad en internet 2019. Recuperado de https://www.symantec.com/es/es/security-center/threat-report

Unisys. (2019). Índice de Seguridad de Unisys™ en Colombia. Recuperado de https://www.unisys.com/unisys-security-index/colombia