¿Qué es el tailgating en ciberseguridad y por qué es una amenaza en el lugar de trabajo? Conozca esta sencilla táctica de ingeniería social, también conocida como piggybacking.

Entender el tailgating en la ingeniería social

¿Qué es el tailgating? El «tailgating» es una técnica de ingeniería social empleada por individuos que buscan acceder sin autorización a zonas seguras siguiendo de cerca a una persona autorizada. Esta táctica explota la cortesía humana, permitiendo al infiltrado entrar sin la debida autentificación.

Los titulares de las noticias están repletos de violaciones masivas de la seguridad, y los analistas nos explican los hackeos, a menudo complejos, que conllevan.

Frank Abagnale fue uno de los hackers más infames del mundo. Sus actividades delictivas se hicieron famosas en la película sobre su vida, «Atrápame si puedes«. Frank realizó gran parte de sus actividades de piratería informática en la década de 1960. Utilizaba técnicas de ingeniería social de baja tecnología, incluido el «Tailgating», para hacerse pasar por un médico y un piloto y facilitar así diversas estafas financieras. Durante sus estafas, Frank utilizaba identidades falsas para falsificar cheques y cobrarlos. Frank robó grandes sumas de dinero y acabó condenado a 12 años de prisión por fraude. Desde hace tiempo, Frank ha abandonado su vida delictiva para asesorar sobre cómo prevenir la ciberdelincuencia.

Frank utilizó la ingeniería social para cometer fraudes manipulando situaciones y personas. Estos métodos de ataque suelen centrarse en los puntos débiles del comportamiento humano, explotándolos para iniciar ciberataques que incluyen daños criminales, infección por ransomware, compromiso del correo electrónico empresarial (BEC) y exposición de datos. El término «ingeniería» desmiente la naturaleza a menudo sutil y de baja tecnología de muchos problemas de ingeniería social. He aquí un vistazo a la táctica de hacking de baja tecnología conocida como ‘Tailgating’.

¿Qué es ir a rebufo en el contexto de una ciberamenaza?

Los titulares de las noticias están repletos de violaciones masivas de la seguridad y los analistas nos explican los hackeos, a menudo complejos, que conllevan. Sin embargo, no todos los hackeos son digitales; muchos se logran utilizando tácticas de baja tecnología. Pero incluso estos ataques de baja tecnología pueden dar lugar a importantes brechas y robos.

El «tailgating», a veces conocido como «piggbacking», es una forma de ingeniería social de baja tecnología que constituye un ataque físico, más que digital. Sin embargo, este ataque físico puede conducir a un ciberataque digital.

Un ejemplo típico de tailgating es el de un estafador que accede a un edificio corporativo haciéndose pasar por un visitante legítimo, un repartidor o similar. Colin Greenless, consultor de Siemens Enterprise Communications, demostró en 2009 lo fácil que era el tailgating y lo perjudicial que podía resultar. Greenless consiguió entrar sin autorización en el edificio de una institución financiera que cotiza en el índice FTSE 100 y, en 20 minutos, había encontrado un documento de fusiones y adquisiciones muy delicado a la vista en un escritorio.

La psicología del Tailgating o Piggbacking

El acto de tailgating o piggbacking se aprovecha del comportamiento y las situaciones humanas. El tailgating es una táctica de ingeniería social in situ, es decir, el tailgater debe encontrarse físicamente en el entorno que desea explotar. Esto hace que entren en juego otros factores importantes para el éxito del tailgating, a saber, el pretexto.

El pretexto es probablemente tan antiguo como la sociedad humana. Es el acto de presentarse como otra persona para obtener información sensible o importante de otro individuo o grupo, algo así como Frank Abagnale. En el acto de poner pretextos, el delincuente adoptará a menudo una forma de identidad que haga que el objetivo esté más abierto a revelar información o a realizar un acto (como abrir una puerta). El pretexto requiere investigar a un objetivo. También se basa en la noción de confianza: ¿qué requisitos previos ayudan a construir una persona de confianza para que cualquier escenario de ingeniería social tenga más éxito? Por ejemplo, si el ingeniero social desea hacer un seguimiento de una empresa objetivo, puede dedicar tiempo a observar los tipos de visitantes que se presentan en el edificio de la organización; ¿hay una hora específica en la que se realizan las entregas, por ejemplo? Esta recopilación de inteligencia permite al estafador construir una persona de confianza que puede utilizar para manipular e influir en los empleados para que les permitan entrar en un edificio o sala normalmente seguros.

Los perjuicios de ir a remolque en el lugar de trabajo

El tailgating no es sólo el caso de alguien que se hace el tonto y entra en un edificio por una broma. El tailgating conlleva intenciones maliciosas, y los autores realizan este acto para causar daños a la propiedad, robar información, instalar malware e incluso poner en peligro la vida del personal. En una encuesta reciente de Boon Edam, el 71% de los encuestados se sintió en riesgo de sufrir una violación física debido al tailgating.

El tailgating se presenta en cualquier forma que funcione y quienes lo llevan a cabo pueden ser ex empleados o desconocidos.

Ex-empleados: Según las investigaciones, el 80% de las demandas por ciberresponsabilidad provienen de negligencias de los empleados, incluidos los empleados deshonestos. Estos ex empleados suelen estar descontentos, buscan venganza y dañar la propiedad, y roban información y datos sensibles de la empresa para llevar a cabo esta venganza.

Peligro extraño: La cortesía puede conducir al robo de datos y a la infección por programas maliciosos: durante el ejercicio de Colin Greenless, 17 empleados, a petición suya, facilitaron a Colin sus contraseñas. Los estafadores suelen planificar su ataque con mucha antelación. Saben a quién dirigirse y, además de las contraseñas, las tarjetas de acceso estarán en su lista de imprescindibles. Ser cortés con un desconocido puede dar lugar a cuentas comprometidas, una violación de datos e incluso una infección mediante la instalación de malware.

Cómo dejar de ir a remolque

Un sistema de gestión de las políticas de seguridad y del cumplimiento es un primer paso importante en el desarrollo de métodos para prevenir los incidentes de tailgating. Las políticas deben reflejar los métodos de tailgating y cómo detener al tailgater en su camino. Para detener el tailgating, antes de que se meta en la piel de su organización, fíjese en las siguientes áreas:

Fundamentos

Enseñe a los empleados qué es el tailgating, cómo se produce y sus consecuencias. Esto debería formar parte de un programa continuo de formación sobre concienciación en materia de seguridad. Los programas de concienciación sobre seguridad deben cubrir todos los aspectos de las amenazas cibernéticas, tanto la seguridad digital como la física.

Vigilancia

Fomente una actitud vigilante por parte de los empleados. Cualquier persona que parezca sospechosa debe ser retada a proporcionar sus credenciales. Mejor aún, establezca un proceso para que los empleados puedan informar de sus sospechas a un miembro del equipo de seguridad pertinente o a un directivo.

Conciencia medioambiental

Forme a los empleados sobre las acciones de los tailgater, como intentar acceder físicamente a zonas restringidas cuando una persona autorizada entra en el espacio. Asegúrese de que los empleados sepan que el tailgating implica trucos de confianza utilizados para generar confianza.

Asertividad

Ser educado es importante, pero ser asertivo puede ayudar a evitar una infracción grave en la empresa. Hay que enseñar a los empleados los trucos de los que se dedican a seguir a los delincuentes y cómo éstos utilizan el miedo a parecer descorteses para burlar la seguridad.

Cerrar la puerta a las fiestas

Colin Greenless era un hacker de sombrero blanco, y sus escapadas se hicieron transparentes para ayudar a prevenir el tailgating. Sin embargo, el tailgating sigue siendo un hecho habitual. Un ejemplo más reciente lo protagonizó una mujer que pudo acceder a una zona restringida del complejo turístico de Trump Mar-a-Lago, portando cuatro dispositivos móviles, un ordenador portátil, un disco duro externo y una memoria USB que contenía malware. Incluso con los niveles de seguridad presidenciales establecidos, fue capaz de burlar la seguridad fingiendo no entender las preguntas del personal de seguridad, el resultado fue que «el personal de seguridad culpó a una barrera lingüística y la admitió«.

Las personas que pretendan perjudicar a una organización y/o cometer un fraude se esforzarán por engañar a los empleados. Rasgos humanos como la cortesía o la falta de vigilancia o el simple hecho de estar distraído por el trabajo pueden dar lugar a que individuos nefastos entren en una organización con intenciones maliciosas. Hay que concienciar a los empleados de los peligros de lo que puede parecer inofensivo, como que entre en una oficina alguien que quizá no debería estar allí. La formación sobre concienciación en materia de seguridad cerrará el paso a los intrusos y proporcionará a los empleados los conocimientos necesarios para atajar este insidioso problema.

Preguntas frecuentes sobre el seguimiento en ciberseguridad

¿Qué es ir a rebufo en ciberseguridad?

El «tailgating», también llamado «piggybacking», es una táctica de ingeniería social en la que una persona no autorizada sigue a un empleado hasta una zona segura para acceder a ella sin la debida autenticación.