Piggybacking Y Tailgating

Piggybacking Y Tailgating: ¿Qué son?

Piggybacking Y Tailgating

El «tailgating» y el «piggybacking» son dos prácticas de ingeniería social que aprovechan el factor humano para acceder a zonas reservadas al personal autorizado, con los consiguientes riesgos de seguridad, tanto físicos como cibernéticos.

  • Tailgating: Cuando una persona no autorizada ve una puerta abierta y se cuela en el edificio.
  • Piggybacking: Cuando una persona autorizada abre la puerta para que entre una persona no autorizada.

Las estafas típicas de control de entrada van desde el "tailgating" y el "piggybacking" hasta el salto del control o puerta.

El «tailgating» es una situación en la que una persona no autorizada sigue a otra autorizada a una zona restringida sin ser advertida, quizás aprovechando el momento en que la persona autorizada abre la puerta con sus documentos de identificación y, antes de que la puerta se cierre, aprovecha la oportunidad para entrar en la zona.

Por otro lado, el «piggybacking» es cuando una persona accede a una zona restringida con el permiso normalmente obtenido por engaño, de una persona autorizada.

Este ataque puede ser muy útil en organizaciones grandes en las que es poco probable que el personal conozca a todos sus compañeros. A menudo se les engaña fácilmente para que concedan el acceso.

¿Cuál es el método de Piggybacking Y Tailgating?

Todo el mundo recuerda la famosa película con Leonardo DiCaprio «Atrápame si puedes«, en la que interpretaba al conocido estafador Frank Abagnale.

Esta persona astuta entraba en zonas protegidas como aeropuertos y hospitales, se hacía pasar por otra persona y se disfrazaba de piloto de avión. Mediante engaños y artimañas, conseguía sus objetivos y causaba un perjuicio económico a las empresas que defraudaba. Más allá de la simpatía que pueda suscitar el personaje de la película, la estafa es un grave problema para las empresas, y sus autores actúan infringiendo la ley, a menudo con intención delictiva.

En el caso del PiggyBacking, la persona que busca un acceso no autorizado podría, por ejemplo, presentarse en la entrada de una empresa vestido con chaqueta y corbata, hacerse pasar por un cliente y, de hecho, eludir los controles del personal de seguridad.

Otra posibilidad es presentarse disfrazado de mensajero o cartero, tal vez con un paquete grande, y pedir a uno de los empleados del exterior que le haga el favor de abrir la puerta principal, que está protegida por una cerradura que funciona con una tarjeta de visita.

En muchos casos, la experiencia ha demostrado que estas personas, por amabilidad o ingenuidad, acceden a zonas cerradas y ponen así en peligro la seguridad de las personas, los bienes y los datos de la empresa.

Riesgos

Los piratas informáticos y los estafadores que buscan acceder a una empresa pueden tener objetivos diferentes.

Algunos simplemente quieren robar equipos valiosos, como ordenadores portátiles y dispositivos inteligentes. Estos dispositivos suelen contener datos sensibles, por lo que el robo es doble.

Algunos pueden intentar insertar programas espía en puertos de ordenadores o routers especialmente seleccionados para robar información o dinero. Otros pueden intentar acceder a la sala de servidores de una empresa para crear una puerta trasera en toda la red y robar datos y secretos de la empresa.

También hay quienes simplemente quieren causar daño mediante la violencia, el vandalismo, el espionaje empresarial u otros medios.

Piggybacking y Tailgating puede causar mucho daño, y de muchas maneras.

Desde la simple pérdida de equipos hasta las pérdidas financieras y los graves daños a la reputación de una empresa o incluso las lesiones físicas de las personas. Una sólida cultura de sensibilización suele empezar por enseñar a los empleados que es su responsabilidad desafiar a las personas que no pertenecen a la organización.

tailgating o piggybacking

Prevención

¿Dejarías entrar en tu casa a alguien que no conoces, aunque te lo pidiera amablemente y no tuviera malas intenciones? Probablemente se lo pensaría dos veces antes de hacerlo.
Esta reticencia está justificada porque está en juego su seguridad y la de sus seres queridos.

El mismo enfoque cuidadoso y concienzudo es necesario también en el entorno laboral. Por ejemplo, si ve a una persona desconocida en la empresa, quizás sin permiso, hay ciertos procedimientos que seguir:

  • La mayoría de las empresas tienen normas de seguridad sobre el acceso a las zonas restringidas. Si no sabes cuáles son, pregunta al personal responsable y ponlas en práctica.
  • No permita que una persona que no conoce como compañero le acompañe cuando entre en zonas restringidas al personal de la empresa; si la puerta está cerrada, permítale abrirla si está autorizada a hacerlo.
  • Si ves a una persona desconocida en la oficina, comprueba que tiene una tarjeta de visitante.
  • Si ves a una persona sospechosa pero no te atreves a enfrentarte a ella directamente y preguntarle qué hace allí, informa inmediatamente al personal de seguridad, que está allí  para estos casos.

Las organizaciones deben formar a su personal en el uso y cumplimiento de los controles de acceso. Deben recordarles constantemente que es su responsabilidad desafiar a los no comerciantes y detenerlos cuando intenten seguirlos a través de las puertas abiertas.

Al fin y al cabo, incluso el equipo de seguridad más caro y seguro es inútil si los empleados se limitan a mantener la puerta abierta para cualquiera.

Para los espacios coworking, la situación puede ser un poco más complicada…

En estas zonas hay muchos empleados de diferentes empresas y hay una gran rotación de personas que a menudo no se conocen entre sí. Un intruso puede explotar esto de varias maneras para obtener acceso a las áreas restringidas con los metodos Piggybacking y Tailgating.

Piggybacking Y Tailgating en el ámbito informático

Desgraciadamente, muchas violaciones de los sistemas informáticos son el resultado de la negligencia o la ingenuidad de los empleados. Pantallas no bloqueadas con contraseña, permisos de acceso escritos en un papel junto a la pantalla, etc.

Sin duda, todas estas prácticas no pasarán desapercibidas para quienes entren en zonas restringidas sin permiso y con fines específicos.

Incluso en estos casos, hay que respetar la política de seguridad de la empresa:

  • Recuerda bloquear tu ordenador portátil o de sobremesa, del que eres responsable, cuando estés fuera de tu lugar de trabajo y apagarlo al final de la jornada.
  • Protege el acceso con una contraseña segura y no se la des a nadie (incluso si te llama un supuesto técnico informático que necesita tu contraseña para «hacer algo», ningún técnico te la pedirá).
  • En la mesa del ordenador no olvide ni deje los documentos de trabajo en papel o en formato digital a la vista de todos.
  • Guarde todos los documentos sensibles en cajones cerrados con llave y destrúyalos con dispositivos adecuados cuando ya no los necesite.

 

Ciberseguridad en móviles (celulares)
Cursos de Ciberseguridad
Llave de Seguridad
Ir arriba