RGPD, guía fácil para las personas legas en la materia
diciembre 28, 2021
Carbanak, el ciberrobo del siglo
diciembre 28, 2021
Tailgating y Piggybacking son dos prácticas, que entran una vez más en la esfera de la ingeniería social, las cuales aprovechan el factor humano para vulnerar áreas reservadas al personal autorizado con el consiguiente riesgo para la seguridad, tanto física como de los sistemas informáticos.
Descubramos a continuación de qué estamos hablando exactamente para entender después cómo estos escenarios son aplicables tanto a la seguridad física como a la informática. Literalmente existe una sutil diferencia entre el significado de Piggybacking y Tailgating.
El Tailgating representa la situación en la cual un individuo sin autorización al acceso sigue de cerca a otra persona autorizada en un área reservada de forma desapercibida, tal vez aprovechando en momento en que la persona autorizada abre con su credencial la puerta y esta, antes de que esta última, se cierre aprovecha para adentrarse en su interior.
En cambio, el Piggybacking representa aquella situación en la cual alguien accede a un área reservada con el permiso, en la mayor parte de los casos obtenido mediante engaño, de una persona autorizada.
Todos recordaréis la famosa película con Leonardo Di Caprio «Atrápame si puedes» donde interpretaba al famoso estafador Frank Abagnale.
Este astuto personaje entraba en áreas reservadas como aeropuertos y hospitales fingiendo ser otra persona y camuflándose como piloto de aviones, mediante el engaño y la astucia conseguía su propósito, causando un daño económico a las compañías que estafaba. Al margen de la simpatía que podría despertar el personaje de la película, el tailgating supone un serio problema para las empresas y su autor actúa vulnerando la ley, muy frecuentemente con intenciones delictivas.
En el caso del PIggyBacking, quien desea obtener un acceso sin autorización podría por ejemplo presentarse en la entrada de una organización, bien vestido, con chaqueta y corbata, haciéndose pasar por un cliente y en la práctica eludiendo los controles también del personal de seguridad.
O bien podría presentarse disfrazado de mensajero o cartero, tal vez transportando un paquete de grandes dimensiones y pidiendo el favor a alguien del personal, en ese momento en el exterior, de que le abra la puerta de entrada protegida por una cerradura que funciona con credencial empresarial.
En muchos casos, comprobados por la experiencia, sucede que la amabilidad o la ingenuidad permiten a estos individuos acceder a áreas reservadas, con el consiguiente riesgo para la seguridad de las personas y de las propiedades y de los datos reservados empresariales.
Quien realiza un intento de acceso no autorizado conoce estas «debilidades» y las aprovecha para conseguir lo que quiere.
¿Dejaríais entrar a alguien que no conocéis en vuestra casa? ¿Aunque os lo pidiese amablemente y no mostrarse malas intenciones? Probablemente os lo pensaríais un poco antes de hacerlo.
Estas reticencias tienen razón de ser porque está en juego vuestra seguridad y la de vuestros seres queridos.
También en el contexto laboral se requiere la misma postura prudente y consciente, por lo tanto si advertís a una persona desconocida dentro de vuestra empresa, tal vez sin credencial, es necesario seguir algunos procedimientos:
- la mayoría de las empresas tienen políticas de seguridad relativas al acceso a los espacios reservados, si no las conoces, pregunta al personal encargado y ponlas en práctica.
- no permitas a alguien que no conoces como compañero que entre junto a ti (tailgating) mientras accedes a áreas reservadas a personal empresarial, si la puerta tiene un dispositivo de cierre deja que sea él, si está autorizado, quien la abra
- si adviertes a alguien que no conoces dentro de tu oficina, comprueba si dispone de una credencial de visitante
- si advierte a alguien sospechoso pero no te atreves a afrontarlo directamente preguntándole el motivo de su presencia, informa de inmediato al personal de seguridad, está ahí precisamente para casos como ese.
En lo referente a los espacios de coworking, la situación podría ser algo más complicada…
En estas áreas trabajan numerosos empleados de empresas diferentes con una alta rotación de las personas, que con frecuencia no se conocen entre sí. El intruso podría aprovecharlo de diferentes maneras para acceder al interior de áreas reservadas
el piggybacking en el ámbito informático
Desafortunadamente, son numerosas las violaciones de los sistemas informáticos provocadas por descuidos o ingenuidad de los empleados. Pantallas no bloqueadas por contraseña, credenciales de acceso escritas en un post-it al lado del monitor, etc.
Sin duda todos estos comportamientos no pasarán desapercibidos a quien entra en áreas reservadas, sin autorización y con fines muy concretos.
También en estos casos es necesario seguir la política de seguridad empresarial:
- acordarse de bloquear el propio ordenador portátil o de sobremesa, del que se es responsables, si nos alejamos del puesto de trabajo y apagarlo al final del día
- proteger el acceso con una contraseña fuerte y no compartirla con nadie (ni siquiera si recibes una llamada del supuesto técnico IT que necesita tu contraseña para «hacer cosas» – ¡Ningún técnico te la pediría nunca!)
- mantener ordenador el propio escritorio sin olvidar ni dejar a la vista documentos empresariales en papel o digitales, una presa codiciada por los infames ingenieros sociales
- guardar todos los documentos reservados en compartimentos seguros cerrados con llave y destruir los documentos con dispositivos apropiados cuando ya no se necesitan
Esta y otra información importante está a disposición en nuestra plataforma de formación Sababa Awareness, que permite a los empleados incrementar sus competencias para resistir a los ataques informáticos y a las técnicas de ingeniería social como las indicadas en este artículo.
