Entender el tailgating en la ingeniería social
¿Qué es el tailgating? El tailgating es una técnica de ingeniería social empleada por individuos que buscan acceso no autorizado a zonas seguras siguiendo de cerca a una persona autorizada. Esta táctica se aprovecha de la cortesía humana, permitiendo al infiltrado entrar sin la debida autenticación.
Los titulares de las noticias están llenos de violaciones masivas de la seguridad, y los analistas nos explican los hackeos, a menudo complejos.
Frank Abagnale fue uno de los hackers más infames del mundo. Sus actividades delictivas se hicieron famosas en la película sobre su vida, "Atrápame si puedes". Frank realizó gran parte de sus actividades de hacking en la década de 1960. Utilizaba técnicas de ingeniería social de baja tecnología, como el "Tailgating", para hacerse pasar por un médico y un piloto y facilitar diversas estafas financieras. Durante sus estafas, Frank utilizaba identidades falsas para falsificar cheques y cobrarlos. Frank robó grandes sumas de dinero y acabó condenado a 12 años de cárcel por fraude. Hace tiempo que Frank abandonó su vida de delincuente para asesorar sobre cómo prevenir la ciberdelincuencia.
Frank utilizaba la ingeniería social para cometer fraudes manipulando situaciones y personas. Estos métodos de ataque suelen centrarse en los puntos débiles del comportamiento humano, explotándolos para iniciar ciberataques que incluyen daños criminales, robo de inventario, infección por ransomware, Business Email Compromise (BEC) y exposición de datos. El término "ingeniería" oculta la naturaleza a menudo sutil y de baja tecnología de muchos problemas de ingeniería social. He aquí un vistazo a la táctica de hacking de baja tecnología conocida como "Tailgating".
¿Qué es el tailgating en el contexto de una ciberamenaza?
Los titulares de las noticias están llenos de violaciones masivas de la seguridad, y los analistas nos explican los hackeos, a menudo complejos, que se producen. Sin embargo, no todos los ataques son digitales; muchos se realizan con tácticas de baja tecnología. Pero incluso estos ataques de baja tecnología pueden dar lugar a violaciones y robos importantes.
El Tailgating, a veces conocido como "Piggbacking" es una forma de ingeniería social de baja tecnología que es un ataque físico, más que digital. Sin embargo, este ataque físico puede conducir a un ciberataque digital.
Un ejemplo típico de "tailgating" es el de un estafador que accede a un edificio corporativo haciéndose pasar por un visitante legítimo, un repartidor o similar. Colin Greenless, consultor de Siemens Enterprise Communications, demostró en 2009 lo fácil que resultaba y lo perjudicial que podía ser. Greenless consiguió entrar sin autorización en el edificio de una institución financiera que cotiza en el índice FTSE 100 y, en 20 minutos, encontró un documento muy sensible sobre fusiones y adquisiciones a la vista de todos en un escritorio.
La psicología del tailgating o piggbacking
El tailgating o piggbacking aprovecha el comportamiento y las situaciones humanas. El tailgating es una táctica de ingeniería social in situ, es decir, el tailgater debe estar físicamente en el entorno que desea explotar. Esto hace que entren en juego otros factores importantes para el éxito del tailgating, a saber, el pretexto.
El pretexto es probablemente tan antiguo como la sociedad humana. Es el acto de presentarse como otra persona para obtener información sensible o importante de otro individuo o grupo, algo así como Frank Abagnale. En el acto de seguir, el delincuente suele adoptar una forma de identidad que hace que el objetivo esté más abierto a revelar información o a realizar un acto (como abrir una puerta). El pretexto requiere una investigación sobre el objetivo. También se basa en la noción de confianza: ¿qué requisitos previos ayudan a construir una persona de confianza para que cualquier escenario de ingeniería social tenga más éxito? Por ejemplo, si el ingeniero social desea seguir a una empresa objetivo, puede dedicar tiempo a observar el tipo de visitantes que acuden al edificio de la organización; por ejemplo, si hay una hora específica en la que se realizan las entregas. Esta recopilación de información permite al estafador construir una persona de confianza que puede utilizar para manipular e influir en los empleados para que les permitan entrar en un edificio o sala normalmente seguros.
Los perjuicios de tailgating o piggybacking en el trabajo
El "tailgating" no es sólo el caso de alguien que se hace el tonto y entra en un edificio por una broma. El tailgating conlleva intenciones maliciosas, y sus autores realizan este acto para causar daños a la propiedad, robar información, instalar malware e incluso poner en peligro la vida del personal. En una encuesta reciente de Boon Edam, el 71% de los encuestados se sintieron expuestos al riesgo de sufrir una brecha física debido al tailgating.
El "tailgating" se presenta en cualquier forma que funcione y los que lo llevan a cabo pueden ser ex empleados o desconocidos.
Ex-empleados: Según las investigaciones, el 80% de las reclamaciones de ciber-responsabilidad provienen de la negligencia de los empleados, incluidos los empleados deshonestos. Estos exempleados suelen estar descontentos, buscan venganza y dañar la propiedad, y roban información de la empresa y datos sensibles para llevar a cabo esta venganza.
Peligro de extrañeza: La cortesía puede conducir al robo de datos y a la infección por malware: durante el ejercicio de Colin Greenless, 17 empleados, a petición de Colin, le dieron sus contraseñas. Los estafadores suelen planear sus ataques con mucha antelación. Saben a quién dirigirse, y además de las contraseñas, las tarjetas de acceso estarán en su lista de imprescindibles. Ser cortés con un desconocido puede dar lugar a cuentas comprometidas, una violación de datos e incluso una infección mediante la instalación de malware.
¿Cómo detener el tailgating?
Una política de seguridad es un primer paso importante en el desarrollo de métodos para detener los actos de tailgating. La política debe reflejar los métodos de "tailgating" y cómo detener al "tailgater". Para detener el tailgating, antes de que se introduzca en la piel de su organización, preste atención a las siguientes áreas:
Fundamentos
Enseñe a los empleados qué es el tailgating, cómo se produce y sus consecuencias. Esto debería formar parte de un programa continuo de formación sobre concienciación en materia de seguridad. Los programas de concienciación sobre seguridad deben cubrir todos los aspectos de las ciberamenazas, tanto la seguridad digital como la física.
Vigilancia
Fomente la actitud vigilante de los empleados. Cualquier persona que parezca sospechosa debe ser retada a presentar sus credenciales. Mejor aún, establezca un proceso para que los empleados puedan informar a un miembro del equipo de seguridad pertinente o a un gerente sobre sus sospechas.
Conciencia medioambiental
Forme a los empleados sobre las acciones de los tailgaters, como intentar acceder físicamente a zonas restringidas cuando una persona autorizada entra en el espacio. Asegúrese de que los empleados sepan que el tailgating implica trucos utilizados para generar confianza.
Asertividad
Ser educado es importante, pero ser asertivo puede ayudar a prevenir una infracción grave en la empresa. Hay que enseñar a los empleados los trucos del oficio de los colados y cómo estos delincuentes utilizan el miedo a parecer descortés para burlar la seguridad.
Cerrando la puerta al tailgating o piggybacking
Colin Greenless era un hacker de sombrero blanco, y sus escapadas se hicieron transparentes para ayudar a prevenir el tailgating. Sin embargo, el tailgating sigue siendo una práctica habitual. Un ejemplo más reciente es el de una mujer que accedió a una zona restringida del complejo Mar-a-Lago de Trump con cuatro dispositivos móviles, un ordenador portátil, un disco duro externo y una memoria USB que contenía malware. Incluso con los niveles de seguridad presidenciales en vigor, pudo burlar la seguridad fingiendo no entender las preguntas del personal de seguridad, y el resultado fue que "el personal de seguridad achacó el problema a una barrera lingüística y la admitió".
Las personas que pretenden perjudicar a una organización y/o cometer un fraude se esforzarán por engañar a los empleados. Rasgos humanos como la cortesía o la falta de vigilancia, o simplemente estar distraído por el trabajo, pueden llevar a individuos nefastos a entrar en una organización con intenciones maliciosas. Hay que concienciar a los empleados de los peligros de lo que puede parecer inofensivo, como que alguien entre en una oficina que quizá no debería estar allí. La formación en materia de seguridad cerrará la puerta a la entrada a hurtadillas y proporcionará a los empleados los conocimientos necesarios para hacer frente a este insidioso problema.