Los comienzos de año siempre son buenos momentos para mirar hacia atrás, recopilar información, analizarla y así obtener estadísticas y tendencias interesantes para tratar de predecir qué esperar en el futuro. Este caso no es la excepción y hemos decidido responder la siguiente pregunta: ¿hay alguna relación entre el día de la semana y la probabilidad de infectarse?
Con el fin de responderla, analizamos los niveles relativos de detecciones para cada día a lo largo de todo el año 2019 para nuestros clientes en Argentina. El índice utilizado para estos cálculos es la proporción entre usuarios activos y detecciones de malware en los equipos de dichos usuarios por día. Es decir, no buscamos enfocarnos en la cantidad de detecciones en sí, sino en la cantidad de detecciones en relación con la cantidad de usuarios activos.
¿Por qué utilizar la proporción en lugar de la cantidad de detecciones?
Esto se debe a que, dado que muchos de nuestros usuarios son clientes corporativos, es razonable que de lunes a viernes haya más actividad que los días sábado y domingo; con lo cual, si se usara directamente la cantidad de detecciones la comparación no sería justa. Siguiendo esta idea, podría haber usuarios que utilicen sus dispositivos únicamente algunos días de la semana y no otros. Por lo tanto, basarnos únicamente en estos números no tendría sentido, ya que la cantidad de detecciones estaría totalmente influenciada por la cantidad de usuarios activos en ese determinado día.
Luego decidimos cambiar el enfoque y comenzamos a trabajar con el porcentaje de las detecciones reportadas sobre el total de los reportes hechos por usuarios activos en ese día. De esta manera, a modo de ejemplo, si el lunes hubo 1000 usuarios activos a partir de los cuales se reportaron 100 detecciones y el martes hubo 800 usuarios activos de los cuales se deportaron 90 detecciones, la proporción será mayor para el martes, aun cuando la cantidad de detecciones es menor.
El razonamiento que permite concluir que los días con mayor nivel de detecciones relativas son aquellos que presentan un mayor riesgo de infección tiene sustento en la exposición a las amenazas. Si en ciertos días de la semana la proporción de detecciones aumenta, quiere decir que esos días nuestros clientes recibieron más amenazas y, por consiguiente, de no haber contado con una solución de seguridad hubiesen resultado infectados.
Conjunto de datos
El conjunto de datos utilizado para realizar el análisis comprende todas las amenazas detectadas por los productos de ESET en Argentina durante el año 2019, sin hacer ningún tipo de distinción entre ellas. Esto quiere decir que en el marco de este análisis no se intenta determinar si las amenazas registradas en un determinado día son más dañinas o peligrosas que las registradas en otro.
Una vez obtenida la información, comienzan los análisis
La primera medida que nos interesará conocer para saber si existe un día en el que es más probable infectarse será el promedio -o la media- de la proporción de detecciones para cada día de la semana por separado y este se calculará teniendo en cuenta todas las mediciones de ese día a lo largo del año.
En principio, este gráfico nos permite observar que hay días de la semana en los que efectivamente hay diferencias en la cantidad relativa de detecciones, y en algunos casos, esta diferencia es más amplia que en otros. Por ejemplo, la diferencia más grande entre valores está entre el valor del lunes y el del sábado. Sin embargo, también podemos observar que hay días que presentan niveles muy similares entre ellos, como por ejemplo lunes y martes, o viernes y domingo.
Siguiendo esta idea, podemos dividir los días de la semana en dos grupos para los cuales los niveles de detección son notoriamente diferentes: uno conformado por lunes, martes, miércoles y jueves y otro conformado por viernes, sábado y domingo.
Este tipo de análisis por sí solo resulta insuficiente, ya que nos interesa saber si las relaciones entre los días mencionadas previamente se mantienen a lo largo del tiempo, y basarnos únicamente en los promedios no nos permite obtener esta información. Por lo tanto, el segundo paso será realizar un análisis mediante medias móviles, logrando así poder visualizar la tendencia de detecciones relativas para cada día de la semana a lo largo de todo el año 2019.
Este gráfico nos permite corroborar las observaciones planteadas:
- A lo largo de todo el año las mediciones para el grupo 1 son mayores a las mediciones del grupo 2 (no hay intersección entre las curvas).
- A pesar de que sus niveles son similares a los del martes y miércoles, puede concluirse que el lunes, seguido muy de cerca por estos dos, es el día con mayor nivel de detecciones relativas.
- El jueves presenta un nivel de detecciones relativas consistentemente menor a los días lunes, martes y miércoles durante prácticamente todo el año.
- De manera consistente, el sábado es el día con menor nivel de detecciones relativas a lo largo de todo el año.
- Si bien la media sugería que viernes y domingo presentaban niveles similares, aquí podemos observar que a lo largo de prácticamente todo el año el viernes presenta niveles superiores al domingo.
Intentar dar una explicación a estas observaciones es muy difícil, ya que están directamente relacionadas a los patrones de comportamiento de los usuarios y por motivos de privacidad no se dispone de dicha información. Por lo tanto, únicamente será posible hacer conjeturas o suposiciones:
- Actividades no riesgosas: durante los fines de semana puede ser mayor la cantidad de usuarios que utilizan sus dispositivos únicamente para realizar actividades como escuchar música o ver películas a través de algún servicio confiable en lugar de otras como navegar de forma intensiva por Internet.
- Menor interacción durante fines de semana: al ser días con menor actividad laboral es posible que las personas no revisen o presten mucha atención a sus casillas de correo (tanto si trabajan como si no) y, a su vez, que sospechen más de los emails recibidos. Por lo tanto, son menos vulnerables a ser víctimas de un mail de spam malicioso.
- Objetivos de los cibercriminales: los días con mayor cantidad de usuarios activos son de lunes a viernes, especialmente cuando se trata de usuarios corporativos. Por lo tanto, es razonable que los cibercriminales estén enfocados en realizar la mayor cantidad de infecciones posibles durante estos días y no tanto durante fines de semana.
En conclusión, a pesar de que en algunos casos las diferencias sean pequeñas, los días que presentaron un riesgo de infección mayor durante el 2019 son lunes, martes y miércoles seguidos de cerca por el jueves. Por el contrario, el día con menor riesgo de infección es el sábado, seguido por el domingo y el viernes. Estos números podrían cambiar en algún punto del 2020; sin embargo, estos cambios suelen ser lentos y progresivos a lo largo del tiempo. Por lo tanto, es esperable que estas tendencias sigan vigentes durante los primeros meses del 2020.
A pesar de que este análisis está enfocado a Argentina, dadas las similitudes que presentan muchos de los países latinoamericanos entre sí, es esperable que estos también se vean afectados por los fenómenos observados previamente. Esta es una hipótesis cuya confirmación corresponde a otro análisis que será realizado en otro artículo.
Para finalizar, es importante destacar que esto no quiere decir que en ciertos días de la semana haya que estar menos atentos o tomar menores medidas de seguridad que en otros, las amenazas siempre están presentes y, por lo tanto, siempre hay que estar protegidos.