Tailgating y Piggybacking

Una de las violaciones de seguridad más comunes e inocentes es el tailgating o piggybacking: un empleado que abre una puerta y la mantiene abierta para otros visitantes sin credenciales o la aceptación pasiva de un trabajador uniformado.

El problema con estas situaciones relajadas y la cortesía común es que abren tu edificio a la entrada indocumentada y no autorizada de personas que podrían tener la intención de dañar tu propiedad y a tus empleados.

Estas situaciones pueden exponer tu edificio a violencia doméstica, robo, sabotaje y terrorismo.

Sin embargo, no todas las amenazas son externas. Algunas áreas internas del edificio deben tener acceso restringido solo para determinados empleados. Piensa en un laboratorio, farmacia, quirófano, sala de equipos o centro de datos. Es posible que desees restringir y rastrear quién puede acceder a equipos valiosos, archivos confidenciales o productos químicos tóxicos.

Vamos a explicar en qué consisten estas técnicas de ingeniería social y cómo prevenirlas.

¿Qué es el Tailgating y piggybacking?

Tailgating, también conocido como piggybacking, es una de las formas más comunes para que los piratas informáticos y otros personajes maliciosos tengan acceso a áreas restringidas. Después de todo, es más fácil simplemente seguir a una persona autorizada en una empresa que irrumpir en ella.

Este tipo de ataque involucra a un atacante que solicita acceso a un área restringida del espacio físico o digital de una organización. Un escenario común que vemos normalmente es un atacante que le pide a un empleado que «mantenga abierta la puerta» en un área restringida porque olvidó su acceso o tarjeta de identidad, o incluso simplemente le pide a un empleado que tome prestada su máquina.

Este ataque puede ser bastante útil en organizaciones grandes donde es probable que los empleados no conozcan a todos sus compañeros de trabajo. A menudo se les engaña fácilmente para que den acceso.

¿Cómo funciona?

Estos ataques pueden ir desde simplemente seguir a una persona a través de puertas que tienen cerraduras de acceso hasta ponerse un disfraz para engañar a las personas para que abran esa puerta.

Los repartidores, los reparadores, las personas que parecen ocupadas e importantes … La lista de formas de engañar a otros para que abran o sostengan puertas es interminable.

Tan pronto como creemos que hemos descubierto los métodos de los estafadores, los cambian nuevamente. Es por eso que necesitamos capacitación constante en conciencia de seguridad.

El tailgating es una forma de ingeniería social bastante sencilla, una técnica basada en cualidades específicas de la toma de decisiones humanas denominadas sesgos cognitivos.

Estos también se conocen como «errores en el hardware humano» y pueden explotarse en varias combinaciones.

Al seguir de cerca, el atacante depende de la otra persona siguiendo una cortesía común, ya sea evitando desafiarlos o incluso sosteniendo la puerta. Cuando estás entrenando a las personas para que no sigan estas normas sociales, realmente las estás entrenando para ir en contra de todo lo que se pensaba, no es un trabajo tan fácil.

Peligros

Los hackers y estafadores que desean obtener acceso a una empresa pueden perseguir diferentes cosas.

Algunos simplemente quieren robar equipos valiosos, como computadoras portátiles y dispositivos inteligentes. A menudo, estos dispositivos contienen información confidencial almacenada, lo que hace que el robo sea doble.

Algunos podrían tratar de insertar spyware en puertos de ordenadores o enrutadores especialmente dirigidos para robar información o dinero. Otros podrían estar tratando de obtener acceso a la sala de servidores de la compañía para crear una puerta trasera a toda la red y robar datos y secretos de la compañía.

Y luego están aquellos que simplemente quieren causar daño, por violencia, vandalismo, espionaje corporativo u otros medios.

El tailgating puede causar mucho daño y de muchas maneras.

Desde la simple pérdida de equipos hasta pérdidas financieras y daños severos a la reputación de la compañía, o incluso daños físicos a las personas. Una fuerte cultura de conciencia a menudo comienza enseñando a los empleados que es su responsabilidad desafiar a las personas que no pertenecen a la organización.

¿Cómo prevenir el tailgating?

Tanto las organizaciones como sus empleados tienen muchas formas de minimizar el riesgo de accesos no autorizados.

Las empresas necesitarán establecer políticas sólidas e instalar controles de acceso para las entradas, así como áreas especialmente restringidas. Luego deberán capacitar a sus empleados para que sean conscientes de su entorno y se responsabilicen en su lugar de trabajo. Los empleados también son partes interesadas cuando se trata de problemas de seguridad.

Las organizaciones más grandes están especialmente en riesgo cuando hablamos de tailgating. Tienen muchos empleados, a menudo en muchos pisos o incluso en muchos edificios, por lo que no todos conocen a todos. Además, a menudo utilizan trabajadores independientes y tienen grandes oficinas con más de una entrada. Todo esto hace que sea más fácil compilar y reduce las posibilidades de que los empleados desafíen a un extraño.

Abundan una variedad de estrategias anti-tailgating. El sistema adecuado para ti depende del punto de entrada específico que desees asegurar, el diseño de la entrada, la razón para controlar el acceso a ella y la flexibilidad de tu presupuesto.

Las estrategias de seguimiento son fáciles de adaptar y complementan la mayoría de los sistemas de seguridad existentes. Usa uno o una combinación de estos 10 sistemas:

  • Tarjetas inteligentes: albergan múltiples credenciales en una sola tarjeta.
  • Guardias de seguridad: pueden confirmar visualmente que una insignia coincide con el titular.
  • Torniquetes: sirven como barrera física y son buenos para el tráfico de alto volumen.
  • Sensores láser: pueden detectar a varias personas.
  • Biometría: disuade a los empleados de compartir credenciales.
  • Lectores de largo alcance: pueden usarse en estacionamientos y garajes.
  • Números PIN: se pueden agregar a los lectores de tarjetas.
  • Análisis de la cámara: permite el reconocimiento facial remoto.
  • Insignias de visitante: aseguran que los invitados temporales estén documentados.
  • Trampas de hombre o las esclusas de aire: requieren un doble juego de identificación.

Por último, pero no menos importante, las organizaciones deberán capacitar a sus empleados para usar y respetar los controles de acceso. Deben recordarles constantemente que es parte de su responsabilidad desafiar a las personas que no pertenecen a esa empresa y detenerlos cuando intentan seguirlos a través de puertas abiertas.

Después de todo, el equipo de seguridad más costoso y seguro es inútil si los empleados simplemente mantienen la puerta abierta a cualquiera.

Responsabilidad de los empleados

El problema con el tailgating es que las personas a menudo no se dan cuenta de que está sucediendo. Deben saber que ellos son los responsables, como personal autorizado, de impedir que otras personas les sigan a través de puertas abiertas. O que deberían pensarlo dos veces antes de sostener esas puertas.

Los estafadores, ladrones y hackers confían en la amabilidad de los extraños o la falta de conciencia y responsabilidad. También saben que confrontar a extraños y negarles el acceso generalmente incomoda a las personas. Esto es especialmente cierto para las grandes corporaciones.

Suponemos que casi todos sostendrían la puerta para una persona que lleva una caja pesada. La mayoría de nosotros somos personas corteses y bien intencionadas. ¡Pero no ladrones y hackers!

Confían en nuestra amabilidad y la utilizan para obtener acceso a nuestras empresas, nuestros ordenadores o servidores y nuestros datos.

Ser amable con los extraños suele ser algo bueno. Pero cuando se trata de la seguridad y la privacidad de nuestro lugar de trabajo, debemos pensarlo dos veces y estar en guardia.

Aquí es donde entra en juego la capacitación sobre conciencia de seguridad. Los empleados necesitarán recordatorios continuos sobre varios temas de seguridad para tenerlo en cuenta.

Aquí hay algunas cosas que todas las organizaciones deberían enseñar a sus empleados para evitar el engaño:

  • No sostengas la puerta a nadie, incluso si llevan uniforme
  • Detén a las personas cuando intenten seguirte a áreas restringidas de acceso
  • Desafía a las personas en el espacio de trabajo si no las conoces
  • Desafía a las personas que no llevan una insignia
  • Informa a la seguridad de personajes sospechosos
  • Desconfía de invitados directos que dicen que tienen una reunión a la recepción
  • Cierra las puertas que sabes que deben estar cerradas (si no se cierran correctamente, repórtalo a la seguridad)
  • Estate constantemente vigilante y consciente de su entorno.
  • Ten en cuenta que los ladrones y los piratas informáticos pueden disfrazarse de reparadores o repartidores
  • A los antiguos empleados no se les debe permitir el acceso sin control dentro de la empresa, incluso si son sus amigos.

Ejemplos

Uno de los ejemplos de tailgating aparecido en las noticias sobre infracciones de seguridad es el caso de un médico residente despedido en el Hospital Mount Sinai St. Luke en la ciudad de Nueva York que consiguió acceder a cinco quirófanos durante dos días para observar los procedimientos.

Después de vestirse con uniformes médicos, siguió a un empleado que había usado su tarjeta de identificación para acceder a la sala de operaciones. También entró cuando los grupos del personal de la sala de operaciones abrieron la puerta y etiquetaron a los empleados durante los cambios de turno.

Esta es una de las razones por las cuales la conciencia de seguridad para la industria del cuidado de la salud es tan importante. Afortunadamente, este tailgater solo observó las operaciones y no participó en la atención al paciente de ninguna manera. De todos modos, fue una violación significativa de la seguridad y un gran golpe para la reputación del hospital.

Otro caso se produjo en la primavera de 2019, cuando se descubrió a un ciudadano chino en un área restringida en el resort Mar-a-Lago de Trump. El individuo llevaba un dispositivo USB que contenía malware.

Los informes indican que el intruso logró confundir al personal de seguridad que pensaba que estaba relacionada con un miembro del club con el mismo apellido. También le mostró al personal de seguridad una invitación que dijo que era para un «evento de amistad de las Naciones Unidas». La invitación estaba en chino que ninguno de los miembros del personal de seguridad podía leer.

Desde empresas financieras y hospitales hasta el presidente de los Estados Unidos, los tailgaters no se detendrán ante nada para obtener acceso a lugares donde no pertenecen.

Es nuestro trabajo seguir los protocolos de seguridad y asegurarnos de que las restricciones de acceso funcionen.