Un ejercicio de phishing realizado por el departamento de TI de la Universidad de California Santa Cruz (UCSC) ha fracasado, después de causar un pánico innecesario entre los estudiantes y el personal. En la mañana del domingo 18 de agosto de 2024, el equipo de TI de la Universidad envió un correo electrónico en lo que su Centro de Salud Estudiantil describió como un intento de «recordar a la comunidad del campus las mejores prácticas de ciberseguridad y ayudar a prevenir futuros intentos de phishing». Sin embargo, el correo electrónico no describía cómo el personal y los estudiantes podrían proteger mejor sus cuentas en línea, por ejemplo, adoptando contraseñas seguras y únicas o habilitando la autenticación multifactor. En cambio, afirmaba falsamente que un miembro del personal había dado positivo en la prueba del virus del Ébola, después de regresar de un viaje a Sudáfrica. El correo electrónico, que tenía como asunto «Notificación de emergencia: caso del virus del Ébola en el campus», decía lo siguiente: En el correo electrónico, se informaba a las personas de que si habían estado en contacto cercano con el miembro del personal afectado (sin nombre), era «imperativo» que tomaran medidas inmediatas y hicieran clic en un enlace a una página web donde se había encontrado más información, según afirmaba. Por supuesto, la afirmación del correo electrónico de que el virus del Ébola se había detectado en el campus era falsa, y cualquiera que hiciera clic en el enlace del correo electrónico en realidad corría el riesgo de entregar sus credenciales de inicio de sesión a los cibercriminales. Aunque en este caso el correo electrónico no era una campaña de phishing perpetrada por delincuentes en línea, sino una «prueba de phishing» orquestada por el departamento de TI de la UCSC basada en un correo electrónico de phishing real que había detectado unas semanas antes. Brian Hall, director de seguridad de la información de la UCSC, se disculpó por el incidente, reconociendo que el correo electrónico de simulación de phishing «no era verdadero e inapropiado» y que potencialmente socavaba la confianza en las alertas de salud pública. Las pruebas de simulación de phishing como esta tienen como objetivo ayudar a las personas a reconocer y evitar intentos reales de phishing. Pero Hall dijo que se dio cuenta de que «el tema elegido para esta simulación causó preocupación y perpetuó inadvertidamente información dañina sobre Sudáfrica». La verdad es que los estafadores pueden usar trucos muy sucios para engañar a usuarios desprevenidos para que hagan clic en enlaces peligrosos, y no tienen reparos en usar técnicas deshonestas para manipular socialmente a sus víctimas para que entreguen sus credenciales confidenciales. Por lo tanto, es comprensible que algunos departamentos de TI puedan sentirse muy tentados a replicar estas técnicas cuando ejecutan una campaña para probar qué tan bien se protegen los usuarios de caer en ataques de phishing. El departamento de TI de UCSC, como otras organizaciones antes que él, aprendió por las malas que no todos los intentos de aumentar la conciencia de seguridad serán bien recibidos.