Según el Informe anual de Proofpoint del año 2019 relacionado al factor humano, la ingeniería social representa al menos el 99 % de los ataques en línea. Los entes maliciosos actúan con la seguridad que una persona hará clic en un enlace o llevará cabo una acción que le permitirá ejecutar sus ataques con éxito. Los ataques de ingeniería social toman muchas formas, una de las más populares es el tailgating.
¿Qué es un ataque de tailgating y cómo puede afectar a tu empresa? Lee las siguientes líneas para obtener información sobre las tácticas de tailgating más comunes, ejemplos y los pasos a seguir para evitar este tipo de ataques cibernéticos.
¿Qué es Tailgating?
Antes de tratar a fondo las medidas de prevención y las técnicas de ataque usadas en el tailgating, es importante responder a esta pregunta: ¿Qué significa tailgating?
Tailgating es una forma de ataque que también conocemos como piggybacking, es una de las formas de ataque en tiempo real más comunes que afectan a las empresas en la actualidad. El tailgating que nos ocupa, es una práctica de ingeniería social en la que un usuario no autorizado gana acceso a un área restringida haciendo seguimiento a una persona autorizada.
Un ataque de tailgating ocurre a causa de un acto de bondad al azar, tal como sostener una puerta para un visitante sin fijarnos que no porta la debida identificación o un extraño que se hace pasar por un trabajador. Este hueco en la seguridad puede causar graves daños tanto a nivel físico como en los sistemas informáticos.
El tailgating puede llevarse a cabo a nivel físico, pero también puede ser con el fin de ganar acceso a laptops, dispositivos móviles, tarjetas de crédito, etc. Por ejemplo, un atacante puede recordar una combinación de teclas que le da acceso a una puerta, el PIN de una tarjeta de crédito o la contraseña de tu computadora portátil mientras escribe.
En el caso de la puerta, nada le impide volver y usar la clave para abrirla. Con una tarjeta de crédito o un computador portátil, tendrían que robar dichos implementos para acceder a tus archivos o cuentas. Cuando un ladrón tiene acceso a tu sistema físico, puedes enfrentarte a serios problemas de seguridad a nivel informático, tales como el robo de información.
Técnicas de tailgating
El primer paso para prevenir este tipo de amenazas es comprender las técnicas que usan los piratas informáticos para llevar a cabo sus ataques. Una vez que sabes el «cómo» esto asiste a tus empleados a mantenerse un paso delante de quien pueda tenerlos en la mira.
Tailgating a través de puertas abiertas
En un entorno corporativo, es habitual sostener la puerta para la persona que está transitando detrás de ti. Este acto de bondad puede dar acceso a un pirata informático que pretenda robar recursos de la empresa.
Los tailgaters siempre buscan formas de introducirse dentro de las plantas físicas de las compañías, mezclados con los empleados. Es posible que el comienzo del ataque no esté en la red, pero al ganar acceso a áreas restringidas ayuda a los delincuentes cibernéticos a ganar terreno.
Un computador desbloqueado, una memoria USB a la que nadie presta atención, una puerta abierta a un salón de servidores: todos estos escenarios tienen el potencial de convertirse en una violación de datos que afecte tu empresa a futuro.
Pretensión de empresas de mensajería
Un atacante fácilmente puede hacerse pasar por un mensajero que debe entregar un paquete a una persona dentro de la empresa. Puede disfrazarse de cualquier cosa, desde un repartidor de pizzas hasta un miembro de una empresa de reparación, o cualquier empleado de servicios similares para obtener acceso.
Si tu personal de seguridad o recepcionista no están atentos, el atacante puede acceder al área de entrega de la empresa y desde allí, escabullirse a un espacio restringido.
El truco de las “manos llenas”
Algunos atacantes acceden a tu empresa llevando varios paquetes en sus manos (algo que va muy bien con el disfraz de repartidor). La necesidad natural de tus empleados de asistir un extraño puede dañar tu empresa sin tu conocimiento.
La mentira de la identificación olvidada
Algunos atacantes intentan disfrazarse como empleados de tu empresa. Su modus operandi más usual es pretender haber perdido su identificación de acceso o haberla dejado en casa.
Aunque es tu deber capacitar a tus empleados para que no permitan el acceso de extraños a las premisas de tu compañía, los intrusos aún pueden arreglárselas para parecer familiarizados con los protocolos de tu empresa usando excusas convincentes o pretextos. Incluso pueden ganarse la confianza de un empleado real y engañarlo para que abra la puerta o entregue su identificación.
En una empresa con miles de empleados, no todos se conocen. Por lo tanto, una «Josefina de contabilidad» que conoce a «Juan de marketing» podría hacer que una persona confiada caiga en la trampa, incluso si no reconoce la cara de la persona.
El pretexto de “tengo una cita”
Este escenario es similar al caso anterior, un poco de investigación sobre la nómina de empleados de una empresa y el intruso puede fácilmente «tener una cita con Juan de marketing» con relación a «un nuevo proyecto de subcontratación». Esto puede convencer al personal de seguridad o a la recepcionista para que le ofrezcan acceso al edificio.
Robo de contraseñas o pines a escondidas de la víctima
¿Alguna vez has notado que una persona intenta robar tu información mientras ingresas tu contraseña o PIN en tu dispositivo móvil, laptop o en un cajero automático? A esta táctica se le conoce como “shoulder surfing”. Un shoulder surfer evita en lo posible ser notado manteniendo cierta distancia de su objetivo, pero están lo suficientemente atento para anotar y usar la información que compila.
Ejemplos de ataques cibernéticos tailgating
Un pirata informático siempre intenta manipular a su víctima a través de la ingeniería social. Al igual que el phishing por correo electrónico, el tailgating también explota el factor humano que es tan propenso al error. El uso de un acto natural de bondad, la creación de sensación de urgencia, la complejidad de una situación específica o incluso una combinación es suficiente para tener éxito. A continuación, te mostramos un empleo de tailgating de alto perfil:
En el año 2019, una mujer china llamada Yuking Zhang fue atrapada cuando intentaba ingresar al club Mar-a-Lago de Donald Trump. Usó varios pretextos, tales como un evento inexistente, la excusa de ir a nadar o el nombre de conexiones falsas relacionadas a los miembros del club. También fingió conocer poco el idioma inglés para confundir al guardia de seguridad. Como resultado de una investigación exhaustiva, los agentes del Servicio Secreto encontraron varios dispositivos móviles, un disco duro externo, una memoria USB con malware y dos pasaportes chinos.
Cómo detectar el tailgating
El propósito principal del tailgating es acceder a un área restringida. La primera señal de alerta es notar a alguien merodeando en un área donde no debería haber nadie, o que intenta entrar corriendo mientras otra persona accede al área restringida. Permitir el ingreso de personas sin verificar su permiso de acceso genera peligros potenciales para tu empresa u organización.
7 Consejos para Evitar Tailgating
El factor humano puede interponerse en el camino de la seguridad, por lo que es importante familiarizarse con los ataques de tailgating como la mejor manera de prevenir y mitigar su impacto. A continuación, te presentamos 7 consejos para evitar los ataques de tailgating:
Educar a tus empleados
Los piratas informáticos dependen de los empleados de una empresa para que sus ataques tengan éxito. Es necesario, por lo tanto, que tu compañía lleve a cabo sesiones de capacitación y concientización en torno al tópico de la seguridad cibernética. Toda empresa responsable debe enseñar a su personal a reconocer, prevenir y lidiar con estos ataques de forma adecuada.
Además de los múltiples tipos de ataques de ingeniería social, este tipo de programas de capacitación debe familiarizar a los empleados con preguntas tales como: «¿Qué es el tailgating?» y «¿Qué es un tailgater?» ¿Cómo se ejecutan estos ataques? Su impacto en la empresa también debería ser un tópico a conversar.
Asegúrate de emplear expertos en seguridad para capacitar a sus empleados y probar sus conocimientos simulando escenarios de ataques de tailgating.
Apégate a las mejores prácticas de seguridad
Las mejores prácticas de seguridad varían según la empresa. El uso de una credencial, registros de entrada y salida, y el posicionamiento de un guardia de seguridad en la recepción deberían ser obligatorios en cualquier organización. También es posible usar sistemas de automatización con controles de entrada biométrica, la instalación de cámaras y otros métodos para mantener seguras tus instalaciones.
Los empleados que anuncien la pérdida de su gafete o que se excusen diciendo haberlo dejado en casa deben mostrar otro comprobante de empleo o devolverse a su hogar para obtener su identificación de acceso. El refuerzo positivo de estas medidas dará como resultado una mejor y mayor seguridad.
Usa sistemas de autenticación multifactor (MFA)
La autenticación multifactor es una de las más sólidas políticas para gestionar el acceso e identidad de tu personal (IAM, según sus siglas en inglés) ya que te asiste en la prevención de amenazas de seguridad. Las empresas u organizaciones pueden introducir múltiples formas de autenticación y verificación para sus empleados antes de darles acceso a la planta física u otros recursos tales como aplicaciones y cuentas en línea.
Con autenticación multifactor, incluso si una persona indica haber perdido su tarjeta de acceso, los recepcionistas y el personal de seguridad pueden disponer de otras formas para verificar su identidad.
Uso de tarjetas inteligentes
El uso de tarjetas inteligentes es otra estrategia contra el tailgating que garantiza que solo las personas autorizadas accedan a las instalaciones de la empresa. Las tarjetas inteligentes incluyen múltiples credenciales visuales y digitales que pueden ser usadas por el personal de seguridad para verificar la identidad de los empleados.
Uso de datos biométricos
Es posible que tengas un sistema de seguridad que use candados, claves, PIN o tarjetas inteligentes, pero todos estos son fácilmente descartables por la memoria humana, también son fáciles de perder, o incluso pueden ser robadas fácilmente. Además, es sencillo para los piratas informáticos manipular a un empleado para que dé su ID de acceso o PIN.
Combinar un sistema de acceso físico con un sistema biométrico coloca capas adicionales de protección sobre tu empresa u organización. El uso de huellas dactilares o reconocimiento de iris en las puertas es una forma más fiable y segura de evitar a los tailgaters y gestionar de forma más organizada el acceso a tu edificio de oficinas.
Limite la entrada a una persona a la vez
Varios empleados que pasan por una entrada simultáneamente pueden confundir al recepcionista y al personal de seguridad. Un atacante puede mezclarse fácilmente en una multitud y pretender ser empleado de la empresa. No hay tarjeta biométrica o control de acceso pueda proteger tu edificio si las personas ingresan en masa.
Una de las mejores soluciones son los torniquetes, estos son una excelente manera de administrar el control de acceso. Limitan la entrada a una persona a la vez, lo cual facilita que el personal de seguridad autentique y verifique adecuadamente a quienes transitan en la entrada.
Contrata guardias de seguridad, instala vigilancia por video
El uso de vigilancia a través de video en todo tu edificio ayuda a identificar a los extraños, incluso si ingresan con éxito a las instalaciones. Colocar guardias de seguridad en las entradas no solo ofrece un mejor servicio al cliente, sino que también evita que los actores maliciosos entren en tu edificio.
Los guardias de seguridad también realizan seguimiento de las personas que ingresan a tus instalaciones y hacen cumplir el porte y uso de las identificaciones de acceso.
Conclusiones
Un pirata informático o persona no autorizada utiliza tácticas de ingeniería social, tales como el tailgating, para manipular a sus víctimas y acceder a áreas restringidas. Un tailgater puede hacerse pasar por un empleado, un vendedor o un repartidor con mucha facilidad.
Las empresas necesitan capacitar a su personal de seguridad y demás empleados sobre las formas más apropiadas para identificar técnicas comunes de tailgating. Cuando notes a alguien extraño, asegúrate de verificar quien es la persona debidamente antes de dejarla entrar al edificio.
La ingeniería social no se limita al tailgating; para conocer otros tipos de ataques y sus mecanismos de prevención, consulta nuestras publicaciones anteriores. Además, mantente atento a nuestras publicaciones futuras para obtener más información relacionada a la seguridad cibernética.