Una controvertida campaña de concienciación en materia de ciberseguridad ha provocado el rechazo de empleados del sector sanitario en Canadá después de que un organismo de salud enviara correos electrónicos simulando una oferta de permiso remunerado dentro de un test de phishing. La prueba, diseñada para detectar la vulnerabilidad de los trabajadores a ataques informáticos, fue calificada de poco respetuosa por la dirección de Newfoundland and Labrador Health Services.
Ron Johnson, director ejecutivo interino del organismo, emitió una disculpa pública reconociendo que esta práctica no fue adecuada. «Reconocemos que el planteamiento utilizado en este ejercicio no fue apropiado y pedimos sinceramente disculpas a nuestros empleados, médicos y representantes sindicales», afirmó en un comunicado oficial.
La simulación de phishing se distribuyó masivamente entre cientos de empleados, generando una oleada de críticas que motivó a la gerencia a revisar y replantear los futuros ejercicios de concienciación. 
Johnson explicó que están en proceso de valorar las opiniones recibidas para asegurar que las próximas iniciativas «reflejen las perspectivas de empleados y médicos, así como los valores organizacionales, con el fin de promover un ambiente laboral respetuoso y de apoyo».
Este episodio no es aislado en el ámbito de la formación en seguridad cibernética. En 2024, la Universidad de California en Santa Cruz se enfrentó a una controversia similar tras ejecutar una campaña de phishing que utilizaba un falso rastreo del virus ébola que causó pánico entre la comunidad universitaria. Dicha campaña empleaba enlaces a una página web simulada con el objetivo de hacerla más creíble y ha sido objeto de duras críticas por su falta de sensibilidad.
Importancia y riesgos de las pruebas de phishing
Las pruebas de phishing son una herramienta valiosa y habitual en las estrategias de ciberseguridad para mantener alerta a los empleados frente a correos fraudulentos, ya que estos representan una de las principales causas de brechas de seguridad en distintos sectores, siendo el sanitario uno de los más vulnerables.
La incorporación de inteligencia artificial ha complicado aún más el panorama, permitiendo a los ciberdelincuentes desarrollar correos cada vez más sofisticados y personalizados, lo que exige que los ejercicios de simulación sean lo más realistas posible para entrenar adecuadamente la percepción y reacción del personal ante amenazas potenciales.
Rob Anderson, responsable de servicios de consultoría reactiva en Reliance Cyber, destacó que las mejores pruebas de phishing imitan fielmente las técnicas reales usadas por atacantes, con la intención de despertar la sospecha instintiva en el personal cuando reciben correos inesperados o sospechosos. Sin embargo, advierte que «existe una línea muy fina porque a nadie le gusta sentirse ridiculizado, especialmente en momentos delicados».
Como ejemplo, Anderson citó un caso en Reino Unido donde una unidad de protección de información de una fuerza policial envió correos falsos en un momento en que la organización atravesaba una reestructuración con despidos y traslados probables. La reacción fue negativa, pues el mensaje para quienes caían en la trampa era un tajante «vaya, has fallado esta prueba», lo que provocó descontento entre agentes que se mostraron abierta y críticamente descontentos por la falta de sensibilidad.
El equilibrio entre efectividad y respeto
Simon McNalley, director técnico de gestión de identidad y accesos en Thales, señala que los profesionales de seguridad deben asegurarse de que las simulaciones sean realistas pero sin aprovecharse de la buena voluntad del personal ni tocar temas delicados como salarios, bonificaciones, permisos anuales o situaciones personales, que pueden erosionar la confianza en los canales oficiales de comunicación.
Asimismo, McNalley recalca la importancia de que departamentos clave como recursos humanos, comunicación y la alta dirección revisen y aprueben estas campañas antes de su lanzamiento para evitar conflictos o malentendidos.
Para ambos expertos, el incidente en Newfoundland y Labrador debe servir de advertencia para que otras instituciones tomen precauciones al emplear estas simulaciones, recordando que la confianza entre empleador y trabajador es un pilar esencial en la cultura de seguridad.
«Si los programas de formación dejan a los empleados con la sensación de haber sido engañados, humillados o manipulados, las organizaciones corren el riesgo de socavar las conductas que precisamente intentan promover», concluyó McNalley.
