El CISO del Departamento de Seguridad Nacional (DHS) de los Estados Unidos, Paul Beckman, considera necesario adoptar una postura más estricta de cara a la cantidad de casos en los que empleados gubernamentales de alto rango caen víctimas de engaños.

Beckman se encarga de enviar periódicamente correos fraudulentos y campañas de phishing, diseñados no para efectivamente robar información sino para saber quién muerde el anzuelo. Lo cierto es que la cantidad de empleados, altos directivos y otros VIPs que no pasan la prueba y hacen clic es alarmante; por eso, este jefe de seguridad está considerando soluciones más firmes, según reporta Defense One.

Actualmente, los empleados que hacen clic en enlaces no del todo confiables y terminan ingresando usuarios, contraseñas y datos personales deben realizar un entrenamiento de seguridad. Pero a Beckman no le parece suficiente, considerando que hay personas que caen en repetidas ocasiones.

"No hay repercusiones al mal comportamiento. No hay daño punitivo, por así decirlo. No hay nada para incentivar a estas personas a ser conscientes, a ser diligentes", dijo.

Su propuesta consiste en quitarle atribuciones de confidencialidad a quienes sean propensos a caer en casos de phishing, considerando que estas personas manejan información sensible y secreta de la seguridad nacional. Los correos con las etiquetas "TS" (de "top secret") o "SCI" (de sensitive compartmentalized information) no deberían estar en sus manos, según Beckman.

"Estos son mensajes de correo electrónico que claramente provienen de fuera del DHS - para cualquier practicante de seguridad, son flagrantes", dijo durante una mesa redonda sobre las prioridades de la seguridad de la información en la Cumbre de Seguridad Cibernética Billington, que se realizó en Washington el 17 de septiembre pasado. "Les sorprendería con qué frecuencia atrapo a estos muchachos".

Beckman quiere entonces iniciar discusiones con el CSO del Departamento de Seguridad Nacional para que la susceptibilidad de los empleados a caer en campañas de phishing sea tenida en cuenta en sus evaluaciones. Así, dice, se debería determinar la idoneidad en lo que refiere a manejo de información sensible.

"Alguien que cae en cada campaña de phishing del mundo no debería mantener una etiqueta TS SCI con el Gobierno federal", sostuvo. "Ha demostrado claramente que no es lo suficientemente responsable como para manejar en forma responsable esa información".

Mientras tanto, otros CISOs tienen posturas menos rotundas y, si bien usan las "evaluaciones de phishing" entre el personal, se enfocan en la creciente sofisticación de los scams que apuntan a empleados federales. Creen, por ejemplo, que tras la brecha en la Oficina de Personal que derivó en el robo de datos de 4 millones de empleados gubernamentales, los cibercriminales podrían elaborar campañas aún más creíbles, diseñadas para sus víctimas.

Independientemente de cómo se accione con sus resultados, y si son utilizados para analizar la ideoneidad de las personas o no, lo cierto es que las pruebas de phishing son una parte importante y muy útil de la educación en seguridad a los empleados. Sin embargo, es importante tener en cuenta el modo en que se realizan estas prácticas y no perder la vista su carácter legal: utilizar logos de compañías de terceros, por más de que sea en el contexto de un test sin fines maliciosos, es ilegal en muchos países.

Por otra parte, en caso de utilizar la imagen de una empresa propia, se debería analizar el peligro de que uno de esos falsos correos de prueba escape del ámbito de la empresa y cuál podría ser el impacto de esto.

"Sus resultados permiten conocer dónde enfatizar los planes de educación dentro de las organizaciones, para garantizar que los empleados tengan presentes y entiendan cuáles son las medidas de control y cómo utilizarlas", explicó Camilo Gutierrez, Senior Security Researcher de ESET.