Uno de los vicepresidentes me acaba de reenviar un correo de phishing y me preguntó si era legítimo. El correo decía: "Tu cuenta de Microsoft ha sido comprometida. Haz clic aquí para verificar tu identidad." El enlace llevaba a "micros0ft-secure-login(dot)net" (fíjate en el cero en lugar de la O). Respondí: "Esto es un intento sofisticado de spearphishing usando suplantación de dominios. He escalado esto a nuestro equipo de Operaciones de Seguridad para análisis de amenazas. Por favor, borra el correo y no hagas clic en ningún enlace." No hay equipo de Operaciones de Seguridad. Solo soy yo. Pero reenvié el correo a la dirección de reporte de phishing de Microsoft, lo marqué como gestionado en nuestro sistema de tickets y envié un recordatorio a toda la empresa sobre el "aumento de la actividad de phishing en el primer trimestre". El vicepresidente me respondió agradeciendo mi "vigilancia" y "respuesta rápida". Todo me llevó 3 minutos. Pero usando frases como "sofisticado" y "análisis de amenazas", convertí un correo básico de phishing en una casi crisis que intercepté heroicamente. La seguridad no consiste en prevenir problemas. Se trata de asegurarse de que todos sepan que los has evitado.