Tailgating y Piggybacking son dos prácticas, que entran una vez más en la esfera de la ingeniería social, las cuales aprovechan el factor humano para vulnerar áreas reservadas al personal autorizado con el consiguiente riesgo para la seguridad, tanto física como de los sistemas informáticos.
Descubramos a continuación de qué estamos hablando exactamente para entender después cómo estos escenarios son aplicables tanto a la seguridad física como a la informática. Literalmente existe una sutil diferencia entre el significado de Piggybacking y Tailgating.
El Tailgating representa la situación en la cual un individuo sin autorización al acceso sigue de cerca a otra persona autorizada en un área reservada de forma desapercibida, tal vez aprovechando en momento en que la persona autorizada abre con su credencial la puerta y esta, antes de que esta última, se cierre aprovecha para adentrarse en su interior.
En cambio, el Piggybacking representa aquella situación en la cual alguien accede a un área reservada con el permiso, en la mayor parte de los casos obtenido mediante engaño, de una persona autorizada.
Todos recordaréis la famosa película con Leonardo Di Caprio «Atrápame si puedes» donde interpretaba al famoso estafador Frank Abagnale.
Este astuto personaje entraba en áreas reservadas como aeropuertos y hospitales fingiendo ser otra persona y camuflándose como piloto de aviones, mediante el engaño y la astucia conseguía su propósito, causando un daño económico a las compañías que estafaba. Al margen de la simpatía que podría despertar el personaje de la película, el tailgating supone un serio problema para las empresas y su autor actúa vulnerando la ley, muy frecuentemente con intenciones delictivas.
En el caso del PIggyBacking, quien desea obtener un acceso sin autorización podría por ejemplo presentarse en la entrada de una organización, bien vestido, con chaqueta y corbata, haciéndose pasar por un cliente y en la práctica eludiendo los controles también del personal de seguridad.
O bien podría presentarse disfrazado de mensajero o cartero, tal vez transportando un paquete de grandes dimensiones y pidiendo el favor a alguien del personal, en ese momento en el exterior, de que le abra la puerta de entrada protegida por una cerradura que funciona con credencial empresarial.
En muchos casos, comprobados por la experiencia, sucede que la amabilidad o la ingenuidad permiten a estos individuos acceder a áreas reservadas, con el consiguiente riesgo para la seguridad de las personas y de las propiedades y de los datos reservados empresariales.
Quien realiza un intento de acceso no autorizado conoce estas «debilidades» y las aprovecha para conseguir lo que quiere.
¿Dejaríais entrar a alguien que no conocéis en vuestra casa? ¿Aunque os lo pidiese amablemente y no mostrarse malas intenciones? Probablemente os lo pensaríais un poco antes de hacerlo.
Estas reticencias tienen razón de ser porque está en juego vuestra seguridad y la de vuestros seres queridos.
También en el contexto laboral se requiere la misma postura prudente y consciente, por lo tanto si advertís a una persona desconocida dentro de vuestra empresa, tal vez sin credencial, es necesario seguir algunos procedimientos:
En lo referente a los espacios de coworking, la situación podría ser algo más complicada…
En estas áreas trabajan numerosos empleados de empresas diferentes con una alta rotación de las personas, que con frecuencia no se conocen entre sí. El intruso podría aprovecharlo de diferentes maneras para acceder al interior de áreas reservadas
el piggybacking en el ámbito informático
Desafortunadamente, son numerosas las violaciones de los sistemas informáticos provocadas por descuidos o ingenuidad de los empleados. Pantallas no bloqueadas por contraseña, credenciales de acceso escritas en un post-it al lado del monitor, etc.
Sin duda todos estos comportamientos no pasarán desapercibidos a quien entra en áreas reservadas, sin autorización y con fines muy concretos.
También en estos casos es necesario seguir la política de seguridad empresarial:
Esta y otra información importante está a disposición en nuestra plataforma de formación Sababa Awareness, que permite a los empleados incrementar sus competencias para resistir a los ataques informáticos y a las técnicas de ingeniería social como las indicadas en este artículo.