Las fallas en la infraestructura de seguridad son las culpables de los ataques phishing, no las personas que dan clic en los vínculos maliciosos, aseguró Ira Winkler en el Congreso (ISC)² en Orlando, Florida.

"Si el clic de un solo usuario puede derribar tu red, entontes tu red no es buena", dijo Winkler durante su presentación La cadena de detención de phishing. "Los técnicos quieren decirnos que la gente es tonta, pero un simple clic no debería causar una falla en el sistema de seguridad. Un ataque de phishing exitoso proviene de un error en la infraestructura de seguridad."

Las fallas tecnológicas suceden más a menudo que las fallas causadas por usuarios, dijo Winkler, quien argumentó que los ataques de phishing necesitan ser detenidos con una defensa integral.

"Existen muchas fases de un ataque phishing y cada una representa una oportunidad para detectar el ataque y detenerlo", argumentó. "Incluso si fallas en tu protección, ¿qué hay con respecto a la detección y reacción- La protección siempre fallará, eso es un hecho. Pero no repruebas en seguridad hasta que el delincuente logra sus objetivos. No importa si el delincuente accede al sistema a menos que logre sus objetivos." Esto, asegura, es el concepto de "cadena de detención". "Atiende el plan de ataque de tu adversario y deduce en dónde puedes detenerlo más eficientemente."

Se necesita de una falla de tecnología en muchos niveles para que el phishing tenga éxito, dijo Winkler, quien argumentó que 20% de los ataques de phishing se deben a una falla del usuario y 80% es resultado de una infraestructura de seguridad inferior. 

A pesar de ello, Winkler recomienda invertir en una buena prevención del usuario. "Los programas para la prevención deberían tratar sobre cómo comportarse adecuadamente, y si suficientes personas lo logran, se crea una cultura de la seguridad."

La gente que argumenta que la prevención no sirve es "tonta", dice Winkler. "La gente lleva un registro de una persona entre cien que hace clic en un correo de phishing. Pero, ¿quién mantiene el registro del éxito- Piensen en los miles de correos de phishing en la bandeja de correo no deseado, esa es una historia de éxito. El éxito de la prevención pasa inadvertida. Implementa un programa de concientización, no sólo videos de simulación y videos."

El phishing no es un problema del usuario, concluye Winkler. "Atiendan la detección, que puede ayudar en la prevención. Su estrategia necesita tanto de análisis inverso como un análisis hacia el futuro. Hay usuarios tontos, pero hay muchos que no lo son."