600 entre 2.200 destinatarios, picaron uno de cada cuatro

Pocos me parecen

#1 tres de cada once

¿Y la formación a los empleados? La noticia no lo dice (sí, me la he leído). As usual, la culpa de todo es de los trabajadores.

En mi empresa hacen este tipo de ejercicios cada cierto tiempo. Y cada vez se lo curran más, todo sea dicho. El caso es que nos dan un cursillo de 30 min, a cerca de estos temas. Obligatorio para todo el mundo.

Parece mentira que lo tenga que decir, pero la forma más fácil de conseguir accesos no autorizados es troleando a sus trabajadores.

#5 A mi nunca me han dado un curso sobre esto y no voy metiendo mis claves en todos los sitios que me lo piden. Está bien que la empresa los dé pero es que hay empleados muy empanados e ingenuos.
Sentido común, el menos común de los sentidos.

Que pase esto en una administración es malo, pero una amiga de mi hija que trabaja en una empresa internacional de ciberseguridad, al hacer un simulacro de phising en su empresa tuvo unos resultados que asustaban, y eso que se dedican a ello.

#8 A mi me parece hasta bajo el de la administracion publica, eso es porque la mitad ni se leen sus correos estan mas protegidos contra el phishing.

#5 A estas alturas sería cómo dar formación en no meter los dedos en un enchufe.

Todo el mundo tenemos contraseña personales delicadas, cómo las del banco.
Deberíamos saber estás cosas para que no nos roben información personal, no sólo para que no roben a la empresa donde trabajamos.

#5 Donde estoy yo, unas 9000 personas, se les ha pasado a la consejería y responsables de informática, por activa y por pasiva, tripticos, cursillos y de todo, solo tenian que dar a enviar el correo. Llevamos esperando 5 años. No hay semana que no quiten a alguno la password del correo o la tarjeta de crédito.
Aparte de que hay una fuga de datos gorda, conocida desde hace años, que estan entregando los datos de los historiales a otras empresas. (Esto lo sé porque me llamaron de trading preguntando por mi nene, que tenia 1 mes cuando me llamaron, y solo esta mi teléfono con el nombre del nene en la consejeria, hospital de referencia y servicio de salud. Lo puse en conocimiento del servicio de informatica y de los de seguridad, y me soltaron la bocachanclada de: "No se te habrá metido el niño en alguna página y habra dado tus datos").
Eso sí, cada 2 por 3 damos acceso a los empleados de mantenimiento, de una subcontrata, a las carpetas de RRHH o contratos, con permiso del jefe de servicio de informática,

#7 Me parece un buen sistema, yo haria algo parecido, cada mes, para que la gente estuviera muy pendiente en esas cosas

#11 que tenía 1 mes cuando me llamaron [...] "No se te habrá metido el niño en alguna página y habrá dado tus datos"

Joder si vienen enseñados los niños ahora

Vaya chorrada de noticia en mi empresa que es una consultora informática donde la gente se supone que está preparada también pico más de la mitad de la gente con uno de esos correos trampa

Los que no picaron es posible que no revisen el correo nunca

#3 El resto no fueron a trabajar ese día.

Probablemente picaron porque la estafa venía escondida con una invitación a mariscada gratis

Analfabetismo digital que cada vez va a más. Peligroso este asunto.

#18 @admin

#7 En mi curro hoy han mandado el email de la comida de Navidad con un link al tripadvisor del restaurante... Si nos ponemos paranoicos mejor volver a los ochenta.

#18 a nadie le importa Livingstone, asúmelo...

#16 o el resto no miran el correo de la empresa ....

La instrumentalización del feminismo por parte de partidos con intereses propios tiene que parar porque está dinamitando el capital político del feminismo construido durante años de luchas colectivas.

Creo que ya es tarde para eso y que el movimiento está herido de muerte por llevarse de extremismos.

#23 y si cada trabajador recibió más de un correo electrónico?

#18 lo de no censura es mentira. @admin

#1 Al resto le pilló desayunando y no vieron el correo

#3 En mi curro mandan un mensaje de estos cada mes mas o menos. Y siempre pica alguien. Yo incluido una vez (simplemente hice click en el link antes de ver que era mas falso que judas). Lo que tienen que hacer es formar a esos empleados, no echarles la bronca.

Yo he visto experimentos de dejar desperdigados por una oficina sticks usb con material aparentemente sensible (archivos con nombre tipo "salario empleados.xls"), y que al abrir el susodicho archivo, el ordenador se bloqueaba y la única solución era llamar al departamento de informática

#5 Conocí una empresa que ofrecia estos servicios... la formación consiste EN ESTO MISMO.

#25 me equivoqué de noticia

#6 No creo que comprobar que el dominio sea exactamente el mismo sea sentido común. Hay mucha gente que tiene un gran desconocimiento sobre la tecnología y no tienen ni idea de que es un dominio o un servidor. Tal como apuntan otros, creo que la solución es la formación, no echarles la bronca.

#5 Ponte a tirar usb infectados en los alrededores de empresas, verás la cantidad de pardillos que llegan al curro y meten un usb que no saben lo que tienen en su pc corporativo...

#11 Como si les dices que aún no había nacido. La culpa siempre es del niño

#15 Jake mate jakers

#5 Ya no estamos en los 90, esto tiene que venir de serie al igual que la mecanografía si trabajas con un ordenador. La tecnología es parte de nuestras vidas desde hace muchos años y todo el mundo debería saber que no hay que dar datos como no hay que beber veneno o cruzar en verde.

#6 Yo pienso que es un sentido común un poco de informático. Si el correo está currado y realmente parece corporativo, creo que caería mucha gente. Fíjate en tu entorno más cercano y seguro que verás que unas cuantas de esas personas picarían. Al menos en mi entorno, lo tengo claro.

#6 #34 si lo haces desde el móvil, muchas veces solo ves el principio o nada de la url.
Además estais presuponiendo que son los encargados de la informática y lo mas seguro que la mayoría sean los encargados del jardin.
Pero aun suponiendo que son gente formada, un abogado, un licenciado en Politicas o en Administración de empresas, lo único que le importa es dar al botón X y que le salga lo que quiere, o mirar la excel.

#33 es lo que tiene obsesionarse por algunos temas

#12 Así es en algunos sitios.

No es tan sencillo, para nada. El enchufe sabes dónde está y lo sabes distinguir. Los correos de phishing sí en su mayoría a poco que tengas un mínimo de experiencia, pero puedes no tener dicha experiencia y puede estar muy bien hecho el phishing.

#10 Pues según el sector, las empresas están obligadas a dar hasta la formación en seguridad y salud más básica. O en su defecto, a exigir certificados que demuestren esta formación. Incluyendo cosas del tipo "no meter los dedos en los enchufes", o dicho de otra manera: "No manipular equipos eléctricos sin protección adecuada y sin asegurarse que no están conectados a una fuente de energía"

#29 en la mía igual, estás pruebas son continuas, y tienes que hacer un cursillo pequeño obligatorio cada año. Debería ser lo normal.

#23 Barrenderos, mantenimiento,... no viven conectados al correo.

#7 Pregunto. ¿Se puede infectar un sistema sólo por entrar en una web maliciosa?.... un solo click en el correo, sin descargar nada ni introducir claves. Pensaba que no.

#47 con un navegador no actualizado sí puede pasar.

#4 60 de cada 220.

#48 Pues entonces, los informáticos del Ayto de Granada, en lugar de poner test fakes deberían de preocuparse en tener los navegadores actualizados... porque si le quitas esa funcionalidad internet se queda muy capado.

#47 en este caso, si les la noticia, sabrías que dieron sus claves de acceso

Y esto son los seres de luz que cuidan de los servicios públicos y que jamás podremos despedir

#11 ¿A ver si va ser que se creen que esos trípticos y cursillos que reciben por email son phishing y no se atreven a "dar a enviar correo" no vaya a ser que la líen?
De hecho, en un caso que leí yo de phishing/ingeniera social, el primer contacto falló y el receptor se dio cuenta de que allí olía algo a chamusquina. El hacker se dio cuenta de que el receptor algo se olía, espero un rato y se volvió a poner en contacto con el receptor, le dijo que era de seguridad y que habían detectado intentos de acceso con su cuenta, etc. Total, que como al receptor toda la milonga le cuadraba ya que había visto cosas raras, tras hacerle un rato el lío (incluyendo consejos de ciberseguridad) , el hacker lo mandó un sitio a cambiar su contraseña, por eso de la seguridad y el intento de ataque. Y la lio
EDIT: Lo mas crack que he visto es una empresa que tenía el cursito de ciberseguridad subcontratado en la web de otros y los propios de la empresa te mandaban a la web por un correo, donde entrabas con tu usuario y contraseña en la web. Pa mear y no echar gota.

#33 Júralo!!

#48 y con uno actualizado, también es posible.

#7 una vez caí en uno de esos, porque el enlace era a algo así rollo 100.200.300.400/verificar (o algo así) y era sobre un proceso bastante habitual en la empresa...
Total, pensé "madre mía, nos la están colando" pero como eran muy cutres para algunas cosas, y si el mensaje era cierto era algo importante... por si acaso miré en el RIPE esa IP y vi que pertenecía a mi empresa... y dije "madre mía, la gente se va a pensar que es phising"... y tachán! Me gané una charla de ciberseguridad

#50 con uno no actualizado es más difícil pero no imposible. Además es imposible parchear todos los ordenadores simultaneamente justo en el momento en el que una amenaza de seguridad se descubre, primero tienen que crear el parche, luego probarlo internamente, luego se distribuye, luego informática del ayuntamiento tiene que verificar que no interfiere con los sistemas, y luego hacer una distribución del software que no entorpezca el trabajo de nadie.
Eso contando con que se use un navegador soportado internamente en la empresa/organismo, la mayoría dan vía libre al uso del navegador que el trabajador crea oportuno.

#5 No les quitemos méritos, para el sentido común y la responsabilidad no hay curso.

en mi empresa se hace cada dos por tres, al que pica, curso coñazo (con examen), así que la gente está bastante atenta y, como un día te entre malware en el equipo y lo detecte el sistema, prepárate, porque lo primero que hace el sistema es bloquearse, manda una orden al directorio para anular el usuario (se auto tira de todas partes) y para que se reactive el usuario solo falta tener que sacrificar una virgen.,..

#7 en mi empresa hacen lo mismo. De vez en cuando recibo correos sospechosos y si estoy descuidado y los abro sin reportarlos como phishing me toca hacer un curso online.

#49 30 de cada 110

#1 En la administración pública están las mentes más brillantes del país.

Así va.

#39 llamame tiquismiquis, pero a mi si me llega un email de pishing (y me llegan muchos) verifico hasta el ultimo link del mismo, y desde luego que no hago click en los enlaces para meter mis credenciales.

#47 si el que hace el email malicioso tiene un exploit 0 days no corregido o se encuentra con que el destinatario tiene un navegador sin actualizar, si, se puede.

#47 Si abriste el correo ya descargaste algo. Si ese correo lleva un código javascript o similar, o una imagen que lleva incrustado código ejecutable a través de una vulnerabilidad en el sistema, el navegador o en la aplicación de correo, ya ejecutaste algo. Si el correo tiene un enlace a una página que hace phising simulando ser otra cosa, y no tomas las medidas para comprobar si esa página es de quien dice ser, ya picaste.

#35 El antiguo jefe de IT de mi curro hizo precisamente eso, encontrarse un USB y pincharlo en su máquina, que tenía acceso a todo. Un fenómeno.

#11 Pues yo diría que el jefe de servicio de informática de tu empresa, y posiblemente alguno más, se lo están llevando calentito por pasar o ayudar a pasar información confidencial de tu empresa a terceros.

#26 Como en los simpsons, ¿no?  

#62 15 de cada 55.

#49 #62 #70 yo he hecho el mínino común divisor, conparaciones hay infinitas . 3/11 > 1/4

Supongo que igual que la mayoría de meneantes, pero creo que no somos representativos de la sociedad. Hay mucha gente que no se aclara con la tecnología. Conozco muchos chavales que ni saben enviar un correo, vete tú a hablarles de phising (y está bien que lo hagas, porque si no, no sabrán ni que existe y picarán).

Estuve trabajando en un ayuntamiento de un pueblo turístico de 20k habitantes, si a esos trabajadores les llamase por teléfono diciéndoles que estamos actualizando el sistema, siete de cada diez me darían las claves de acceso sin preguntar más.

#71 Querrás decir que has sacado el máximo común divisor.

#47 El virus "I LOVE YOU" saltaba sólo con ver la preview del correo, para que te hagas una idea.

#1 y los otros 3 no miran el correo

#67 Deberían haberlo despedido por incompetencia en el cargo desempeñado.

#31 en mi caso había varias clasificaciones:

1. Aprobado si reportabas el intento
2. Necesitas mejorar si no hacías nada
3. Suspenso si entrabas en la web
4. Llamadita de IT si entrabas en la web e intentabas instalar el programa cebo

#1 Los otros estaban merendando

#78 mucho curro para IT

#2 me gustaría ver el correo.

como fuera del tipo nadiuska busca hombre soltero o gana un iPhone por ser el usuario 1 millón...

#5 imaginate el otro extremo. suspensión de empleo y sueldo por negligencia

yo con lo que lo flipo es que gente tan lerda pueda sacarse una opsiciones dificilísimas

El fallo de seguridad real es que a traves de un correo, un documento o de una web te puedan ejecutar/modificar el ordenador. Al guapo que se le ocurrio meter macros/vb en los documentos y js en las pag. html habria que haberle colgado de los huevos.

#64 ¿Y cómo verificas el link?

Si estás en una intranet en la que NO tienes acceso a internet (hay funcionarios en esa situación), o en una intranet que tiene bloqueado el acceso a esas páginas en las que se puede comprobar si un enlace es legítimo (es la situación de muuuuchos funcionarios).

¿Y cómo puedes exigir a una persona que "no haga clic" si la tienes trabajando en una intranet con certificados caducados (una intranet en la que se autentica diariamente con sus credenciales)?

¿Y cómo se puede pedir a una persona que mantenga segura su contraseña si tiene que acceder cada día en su puesto de trabajo a 4-5 aplicaciones en las que la contraseña tiene diferentes parámetros? Y que obligan a cambiar mensualmente. Y que no puedes repetir las cuatro últimas. Y que detecta patrones de tus contraseñas anteriores.

#73 Y eso es porque los informáticos llevan décadas enseñando a los usuarios a saltarse la seguridad.

Si los usuarios nunca hubieran recibido una llamada (legítima) preguntando sus claves u otro tipo de información habrían aprendido a no darla.

Si yo estoy en mi puesto de trabajo y recibo una petición de "10.150.23.56 desea control sobre su equipo" ¿cómo cojones voy a saber si es mi personal de informática o un hacker?
El problema no es que yo acepte esa solicitud, sino en que se ha enseñado al usuario a aceptar una solicitud que no estaba correctamente identificada (porque al departamento de informática le da menos trabajo poner la IP que una identificación "humana")

Y es que cada uno debe asumir sus responsabilidades. Y, en mi opinión, es el departamento de informática el que tiene la primera y mayor responsabilidad.

#5 el problema és asociar esto a una cosa del trabajo, y no es así, es una cosa que te puede joder en lo personal. La gente cree que si pasa algo se joderá la empresa, y por tanto a mi me da igual.
Además a veces las empresas hacen un primer simulacro, miran cuantos han caído, hacen el curso, y vuelven a probar para ver si ha servido de algo.
En un curso que tuve que dar yo por baja de mi compañero, ponía como ejemplo que te robaran la cuenta de Facebook, pueden hacerte chantaje i subir fotos manipuladas tuyas de pederasta y te joden bien