Recientemente una auditoría demostró que 60% de los empleados del servicio de recaudación interna del Departamento del Tesoro de los Estados Unidos son altamente susceptibles a ser engañados por trampas de ingeniería social.

En un ejercicio promovido por el inspector general de administración de impuestos del Departamento del Tesoro, se halló que 61 de 102 empleados atendieron la solicitud telefónica de un supuesto contribuyente para obtener su nombre de usuario y cambiar la contraseña de sus cuentas.

Además la auditoría sirvió para evaluar el comportamiento de cada uno de los trabajadores y ver si acudían con alguna autoridad respectiva para atender o validar la veracidad de la llamada. Pero sólo 8 de los 102 trabajadores entraron en contacto con la oficina de inspección general, el equipo de auditoria o el área de seguridad computacional.

El resultado de tal ejercicio fue, a decir del reporte de la inspección, alarmante, ya que este tipo de auditoria se había ya realizado en agosto de 2001 y diciembre de 2004, cuando los porcentajes de incumplimiento fueron de 71 y 35%, respectivamente. Desde entonces el área de seguridad computacional tomó medidas correctivas para incrementar la prevención en la protección de contraseñas y ataques de ingeniería social, pero como deja ver el informe, dichas acciones no han sido efectivas.

La auditoria concluyó que los empleados no entienden del todo los requerimientos de seguridad para la protección de contraseñas y no tienen como prioridad proteger los datos de los contribuyentes en su trabajo diario. Bajo estas circunstancias, personas no autorizadas están en condiciones de obtener acceso a información sensible de los contribuyentes.

Ahora bien, la cuestión es, si esto pasa en una importante institución del gobierno de EU, ¿Cuál sería el resultado de un ejercicio similar en una institución financiera o una empresa mexicana, donde se maneje información crítica de los clientes? ¿Alguien acepta la prueba?

Compártelo