45 empleados de la biblioteca están liderando la lucha contra las amenazas cibernéticas al participar en un proyecto piloto en el que están expuestos a correos electrónicos de phishing simulados, gracias al compromiso de sus colegas.
Un viernes por la mañana de agosto, el personal de la biblioteca de la DTU está reunido en una sala de reuniones en el campus de Lyngby, edificio 101. El ambiente es relajado, los colegas charlan tomando un café mientras el desarrollador de software Mikkel Sjølund Pieler se prepara para presentar una canción de karaoke casera sobre el phishing.
Antes de las vacaciones de verano, los empleados participaron en una campaña simulada de phishing donde recibieron correos electrónicos falsos que parecían intentos reales de phishing para concienciar sobre el comportamiento digital seguro. Hoy se les presentarán los resultados de dicha campaña.
«Pensé que si íbamos a recordar esto, debía ser divertido», dice Mikkel antes de darle al play. Música y risas llenan la sala mientras el texto se desplaza por la pantalla: «No hicimos clic en el enlace.
Ahora somos héroes cibernéticos, el número de phishing es cero».
El nuevo empleado tomó la iniciativa
La idea surgió hace unos ocho meses cuando Mikkel Sjølund Pieler planteó la ciberseguridad en una reunión matutina poco después de ser contratado. Allí demostró a sus compañeros lo fácil que es hackear un ordenador con una simple memoria USB.
Con su presentación esperaba fortalecer la cultura de seguridad entre los 45 empleados de la biblioteca:
«Todo empieza con pequeños hábitos, como bloquear la pantalla al dejar el ordenador», explica Mikkel Sjølund Pieler, que considera que en el ámbito laboral falta atención a este tema.
La jefa de la Biblioteca, Gitte Bruun Jensen, acogió con entusiasmo la idea de Mikkel e inició un diálogo con el Departamento de Servicios Informáticos (AIT) sobre la posibilidad de participar en una campaña simulada de phishing.
«Queríamos ayudar a probar el concepto y proporcionar al AIT información sobre qué funciona», afirma.
Reconocer el correo electrónico de phishing como sospechoso
La campaña requería que los empleados reconocieran los correos electrónicos de phishing como sospechosos, los denunciaran mediante el botón “Informar phishing” en Outlook y participaran en un breve curso en línea.
Además de la campaña de phishing, Mikkel Sjølund Pieler colaboró con el Departamento de Servicios Informáticos para colocar carteles en el comedor, los baños y los pasillos con mensajes como «Bloquea la pantalla», «Piensa antes de hacer clic» y «La mayor amenaza proviene del error humano».
Según el director de la Biblioteca, el objetivo de la campaña de phishing es concienciar a los empleados sobre un comportamiento digital seguro, no exponerlos ni vigilarlos.
«Hemos sido muy claros con nuestros empleados: no se trata de culpar a nadie, sino de aprender», afirma Gitte Bruun Jensen.
Destaca que los resultados se tratan de forma anónima y todos los empleados tienen acceso al material del curso independientemente de si caen en la trampa o no.
Interés y dudas
La campaña de phishing generó interés y planteó preguntas técnicas. A pesar de una exhaustiva introducción por parte de AIT, surgieron dudas sobre la correcta gestión de los correos electrónicos de phishing.
Había una duda: «¿Debería hacer clic en el correo electrónico de phishing para acceder al curso?». «No, no. Al fin y al cabo, es una prueba. No hagas clic, denúncialo», explicó Gitte Bruun Jensen repetidamente a los empleados.
Varias personas también preguntaron cómo informar un correo electrónico sospechoso a través de Outlook y qué sucede si simplemente elimina el correo electrónico sin reaccionar.
Resultados alentadores
Durante el período de prueba, Mikkel Sjølund Pieler observó varios cambios positivos en el comportamiento de sus colegas:
Son más conscientes de los remitentes de correo electrónico sospechosos y no se limitan a hacer clic en enlaces inseguros. Hablan de estos temas en conjunto, lo que refuerza la atención general a la ciberseguridad. Me parece fantástico.
Los resultados de la campaña son alentadores. El porcentaje de empleados que denuncian phishing aumentó del 42 % al 68 % durante el período de prueba. Una clara mejora.
En la reunión de la oficina en la sala de conferencias, un empleado levanta la mano y dice: «He aprendido que no basta con eliminar los correos electrónicos sospechosos; también hay que informarlos en Outlook». Mikkel Sjølund Pieler y Gitte Bruun Jensen asienten con satisfacción.
El panorama de amenazas se está expandiendo
El director de la Biblioteca considera que la ciberseguridad es un desafío creciente, también para el sector universitario:
Hay ataques en todas partes, todo el tiempo: phishing, hackers, de todo. Es importante que todos aumentemos nuestra concienciación, sin que se convierta en miedo.
Se refiere a un incidente anterior en el que alguien se hizo pasar por el presidente y pidió fondos.
Aunque nadie reaccionó, afortunadamente, da la desagradable sensación de haber sido estafado.
A largo plazo, tanto Gitte Bruun Jensen como Mikkel Sjølund Pieler esperan que las experiencias de la biblioteca puedan inspirar a toda la DTU.
«Si nuestra experiencia puede ayudar a otras unidades a empezar, entonces ya habrá valido la pena», concluye Gitte Bruun Jensen.
DTU News. N. B. Traducido al español
