Crédito:CC0 Public Domain
Auditores de Michigan que llevaron a cabo un falso ataque de "phishing" en 5, 000 empleados estatales seleccionados al azar dijeron el viernes que casi un tercio abrió el correo electrónico, una cuarta parte hizo clic en el enlace y casi una quinta parte ingresó su ID de usuario y contraseña.
La operación encubierta se realizó como parte de una auditoría que descubrió debilidades en la red informática del gobierno estatal. incluyendo que no todos los trabajadores están obligados a participar en la formación de concienciación sobre ciberseguridad. Los esquemas de suplantación de identidad, en los que los piratas informáticos intentan engañar a los destinatarios de correo electrónico haciéndose pasar por entidades legítimas, pueden provocar el robo de identidad y otros problemas.
El phishing fue la forma en que jugadores vinculados a Rusia robaron los correos electrónicos del presidente de la campaña presidencial de Hillary Clinton, John Podesta.
La Oficina del Auditor General de Michigan hizo 14 hallazgos en la auditoría, incluidos cinco que son "materiales", los más graves. Van desde una gestión inadecuada de los cortafuegos hasta procesos insuficientes para confirmar si solo los dispositivos autorizados están conectados a la red.
"Es posible que los dispositivos no autorizados no cumplan con los requisitos estatales, aumentar el riesgo de compromiso o infección de la red, ", dijo la auditoría.
El Departamento de Tecnología, La Administración y el Presupuesto estuvieron de acuerdo con muchos de los hallazgos, pero coincidieron parcialmente con algunos. Dijo que el correo electrónico de phishing de los auditores se informó a un buzón de "consejos de seguridad" varias veces y que existen otros controles que pueden limitar la efectividad de tales ataques.
La agencia agregó que está formalizando un estándar que adopta las mejores prácticas de la industria para configuraciones seguras, estimando que se hará en abril.
"Los datos almacenados dentro de la red del gobierno estatal están a salvo y seguros debido a las muchas capas de protección en nuestro ecosistema de seguridad, "dijo el portavoz Caleb Buhs, quien dijo que el estado ya ha comenzado a implementar muchas de las recomendaciones de los auditores. "Esta auditoría nos proporciona una buena hoja de ruta para priorizar futuras inversiones en infraestructura tecnológica".
La auditoría, que cubrió un período de tres años entre 2014 y 2017, dijo que el estado no estableció e implementó completamente un proceso efectivo para administrar las actualizaciones de los sistemas operativos de los dispositivos de red. Se identificaron diez vulnerabilidades de gravedad media o alta.
En general, El auditor general Doug Ringler consideró los esfuerzos del estado para diseñar, administrar y monitorear una red de TI segura como "moderadamente suficiente".
Un crítico demócrata de la administración del gobernador Rick Snyder, Líder de la minoría del Senado Jim Ananich de Flint, dijo que "simplemente no hay excusa para que los altos funcionarios de Michigan no hayan podido proteger a nuestro estado de los piratas informáticos".
© 2018 The Associated Press. Reservados todos los derechos.