Acabo de recibir un correo electrónico de una institución financiera en respuesta a una pregunta que formulé con ellos. Llegó en forma de un "correo electrónico seguro" de Forcepoint, que requiere que abra un documento HTML y haga clic en un enlace que se encuentra dentro. El documento tiene un bloque de código cifrado que supongo que se utiliza en el proceso de creación del enlace / comunicación con el servidor remoto.
El enlace me dio un formulario de registro para completar, incluyendo una contraseña y una pregunta de seguridad. Generé una contraseña aleatoria y una respuesta falsa para este propósito como siempre lo haría.
Después de eso recibí otro enlace por correo electrónico que me dio la respuesta a mi pregunta original.
Todo el proceso tenía un olor desagradable, incluidos los nombres de dominio de apariencia dudosa involucrados ("voltage-pp-0000.secure-mailcontrol.com" - ¿en serio?).
¿Cuál es la ventaja de seguridad de esto, si existe? Requerir que haga clic en un archivo adjunto parece ser una muy mala idea. Solo seguí las instrucciones porque el contexto era tal que sabía que era muy poco probable que fuera un intento de suplantación de identidad (phishing) y que la información solicitada no tendría ninguna utilidad si lo fuera.