Miles de estudiantes y empleados universitarios objetivo de los esquemas de phishing por correo electrónico este año han mordido el anzuelo. Afortunadamente, no fueron engañados por estafadores reales, sino por sus propias escuelas, en simulaciones destinadas a hacerlos más expertos en detectar amenazas reales.

Cuando la Universidad Estatal de Ohio realizó su primer phishing centrado en los estudiantes en enero, una estrategia que también se utiliza en el mundo empresarial, más del 18 por ciento de los destinatarios accedieron. La campaña de concientización sobre phishing centrada en los empleados de la Universidad de Alabama en Birmingham atrapó más de 7, 000 personas en marzo, o alrededor de una cuarta parte de los destinatarios.

Ezequiel Herrera, estudiante de segundo año de Ohio State, que se enorgullece de responder rápidamente a los mensajes, fue tomado por sorpresa dos veces por los correos electrónicos falsos de phishing. La primera vez, él dijo, se sentía orgulloso de que su escuela estuviera tomando ese tipo de acción educativa. La segunda vez lo dejó frustrado.

"Yo estaba como, 'Guau, Estoy muy, Muy mal, '"Herrera, 19, dijo con una sonrisa. Desde entonces, él dijo, se ha vuelto más cauteloso al desplazarse por los correos electrónicos de remitentes desconocidos.

Los mensajes falsos de phishing imitan los correos electrónicos sobre ayuda financiera, vacaciones, restablecer contraseñas u otros temas, pero contienen signos de posible fraude, como saludos genéricos, solicitudes de información o acción urgente, errores de ortografía, y remitentes de nombres de dominio desconocidos. Los destinatarios que hacen clic en enlaces en los correos electrónicos son redirigidos a consejos sobre buenos hábitos de ciberseguridad y cómo detectar e informar intentos reales de robar contraseñas u otra información confidencial.

"Una simulación de suplantación de identidad ayuda a las personas a comprender el papel que desempeñan en la gestión de la seguridad, que no depende de su soporte de TI o de la mesa de ayuda o de quien sea que puedan caminar a ciegas. "dijo Helen Patton, Director de seguridad de la información del estado de Ohio. "Mucho de lo que hace que una organización sea segura es lo que sucede entre una persona y su teclado o su teléfono".

Patton habla de ello como una vacuna digital, ayudando a proteger a las personas y a la comunidad del campus en general contra ataques cibernéticos que podrían costar mucho más que las simulaciones de phishing.

Solo el mes pasado Los fiscales estadounidenses acusaron a un grupo de iraníes de piratear los sistemas informáticos de unas 320 universidades en los Estados Unidos y en el extranjero para robar miles de millones de dólares en investigación científica e ingeniería que luego fue utilizada por el gobierno o vendida con fines de lucro. Los fiscales dijeron que los correos electrónicos de spear-phishing se utilizaron para apuntar a más de 100, 000 profesores, pero no identificaron públicamente a esas personas ni a sus escuelas.

Ohio State ha utilizado simulaciones de phishing para empleados desde 2016. Los funcionarios no revelarán los resultados exactos por razones de seguridad, pero dicen que las respuestas han mejorado desde las primeras rondas cuando, por ejemplo, Las personas que se encontraban en instalaciones que ni siquiera tenían un segundo piso hicieron clic en un mensaje sobre una impresora en el segundo piso.

De prisa cultura dependiente de la tecnología en la que tantas personas intercambian tanta información al alcance de la mano en teléfonos inteligentes y otros dispositivos, Patton dijo, la batalla está haciendo que la gente disminuya la velocidad.

Lo practico El entrenamiento experimental sobre phishing falso ha demostrado ser más eficaz que las presentaciones de diapositivas. seminarios web u otros tipos comunes de formación que pueden volverse obsoletos, dijo Joanna Grama, quien dirige el programa de ciberseguridad de la asociación tecnológica de educación superior EDUCAUSE.

El riesgo, por supuesto, es que la gente se sentirá engañada, por eso es importante que la capacitación sea educativa, no punitivo, Dijo Grama.

En Alabama-Birmingham, un miembro de la facultad condenó la simulación de phishing como una pérdida de tiempo, pero la mayoría de las respuestas fueron positivas, dijo Curt Carver, el vicepresidente de tecnología de la información de la universidad, que recuerda haber escuchado por primera vez sobre el concepto de auto-phishing hace más de una década.

Algunas personas informan que los mensajes son sospechosos, y otros envían respuestas como "Ja, ¡Me atrapaste! "o" ¡No me atrapaste esta vez! " él dijo, expresó interés en convertirlo en un juego, queriendo medir qué tan bien detectan los ataques de phishing en comparación con otros.

"Se han dado cuenta ... que pueden ser un héroe, puede ser una persona que ayude a proteger a todos los demás, "Dijo Carver.

© 2018 The Associated Press. Reservados todos los derechos.