El «tailgating» (también conocido como «piggybacking») es un ataque físico de ingeniería social en el que una persona intenta entrar en una zona restringida en la que no tiene autorización para estar.
En esta guía, trataremos:
- Qué es el tailgating.
- Algunos ejemplos de casos reales de tailgating.
- Lo que puede hacer para evitar los ataques de tailgating.
¿Qué es el Tailgating?
Es cuando alguien accede a una zona restringida (edificio, espacio específico de oficina, etc.) donde no le está permitido acceder.
En la práctica, puede consistir en seguir a alguien de cerca, pedirle que «¡Sujete la puerta, por favor!», o hacerse pasar por un repartidor o personal de reparaciones.
La principal diferencia con otros tipos de ingeniería social es que el tailgating es una intrusión física. En este sentido, está más cerca del «baiting».
En su origen, el término «tailgating», que en inglés significa literalmente «ir a rebufo», se refiere a «seguir a otro vehículo demasiado de cerca». Así fue como el término acabó por adaptarse a la ingeniería social.
Tailgating: Ejemplos reales
Entonces, ¿cómo es en la práctica un ataque de tailgating? He aquí algunos escenarios habituales.
- Tailgating de «repartidores«: Los atacantes se hacen pasar por personal de servicio, como mensajeros, personal de mantenimiento o repartidores de comida, para acceder a zonas restringidas.
- Robo de credenciales: Los atacantes pueden obtener credenciales de acceso mediante tácticas de ingeniería social, como hacerse pasar por nuevos empleados que olvidaron sus credenciales.
- Seguimiento asistido por tecnología: Los atacantes pueden utilizar la tecnología, como los escáneres RFID ocultos, para clonar las tarjetas de acceso y conseguir entrar sin autorización más tarde.
Ahora, veamos algunos casos reales de ataques de tailgating.
Caso nº 1: La filtración de seguridad del aeropuerto de Múnich
En agosto de 2024, un noruego de 39 años consiguió embarcar en dos vuelos sin billete durante dos días consecutivos.
De algún modo, consiguió eludir la seguridad del aeropuerto de Múnich siguiendo de cerca a los pasajeros con tarjetas de embarque legítimas.
El primer día, fue detectado y detenido una vez a bordo del avión, ya que no tenía asiento reservado. Sorprendentemente, al día siguiente repitió el acto, embarcando en un vuelo de Lufthansa con destino a Estocolmo sin ser detectado.
Este incidente dio lugar a investigaciones sobre los protocolos de seguridad del aeropuerto de Múnich y puso de manifiesto la vulnerabilidad de las medidas de control de acceso.
Caso nº 2: Diplomáticos rusos vetados acceden a zonas restringidas del Parlamento británico
En diciembre de 2024, diplomáticos rusos accedieron a zonas restringidas de las cámaras del Parlamento Británico. Esto constituyó una importante violación de la seguridad.
Desde 2022 está en vigor una prohibición de visitas de funcionarios rusos.
Al parecer, el grupo de diplomáticos se había unido a una visita pública a las cámaras del Parlamento. Entonces se separaron del grupo y consiguieron entrar en una zona restringida antes de que los descubriera la seguridad.
Por suerte, fueron detenidos antes de que se produjeran daños. Sin embargo, el incidente puso de manifiesto el grave riesgo que supone el tailgating en el interior de edificios gubernamentales.
Caso nº 3: Atrápame si puedes (Frank Abagnale)
Frank Abagnale fue un conocido estafador e impostor que, en la década de 1960, llevó a cabo con éxito numerosas actividades fraudulentas aprovechándose de tácticas de ingeniería social, entre ellas la del tailgating.
Se hizo pasar por piloto de Pan Am, accediendo sin autorización a las instalaciones aeroportuarias e incluso viajando gratis siguiendo con confianza al personal de la aerolínea.
Abagnale también se hizo pasar por médico y abogado, utilizando su encanto y capacidad de manipulación para ganarse la confianza y acceder a zonas restringidas sin las credenciales adecuadas. Su habilidad para pasar desapercibido y explotar la confianza humana le permitió cobrar millones de dólares en cheques fraudulentos antes de ser descubierto.
Tras cumplir condena, trabajó más tarde con el FBI como consultor de seguridad, ayudando a las organizaciones a prevenir el fraude y los ataques de ingeniería social. Su historia se hizo famosa en la película «Atrápame si puedes», con Leonardo di Caprio.
¿Cómo Prevenir el Tailgating en su empresa?
Un ataque de tailgating puede ser especialmente peligroso para las organizaciones medianas y grandes, ya que hay mucho en juego. Algunos ejemplos son:
- Robar secretos de la empresa, dinero y/o equipos.
- Instalar una «puerta trasera» en los servidores para espiar todas las conversaciones de la red de la empresa.
Si trabaja para una empresa mediana, debería empezar a pedir explicaciones a todo el que quiera acceder a las instalaciones.
Al principio puede parecer descortés e incómodo. Sin embargo, redunda en beneficio de su empresa. Pida a la directiva que instale escáneres biométricos y torniquetes que impidan que una persona que quiera hacer «tailgating» entre sin más en el edificio.
Los escáneres biométricos y los torniquetes impiden que la persona que le sigue camine con usted dentro del edificio, ya que sólo permiten una persona a la vez. Además, debe interrogar a ese individuo y hacerle preguntas cuyas respuestas sólo los empleados conocerían.
Aunque parezca sencillo, el «tailgating» o «piggybacking» puede ser una estrategia eficaz que sus competidores pueden utilizar para espiar a su empresa. Más información sobre cómo proteger su empresa del espionaje de datos y proteger sus ordenadores.
¿Y si un atacante consigue entrar?
Puede que no siempre tenga control sobre cómo accede la gente a un edificio. Por ejemplo, si alquila oficinas dentro de un edificio más grande. En este caso, lo más probable es que la política de acceso no esté en sus manos.
En este caso, hay varias medidas que puede tomar para protegerse a pesar de todo:
- Bloqueo automático de pantalla y cierre manual de sesión: Capacite a sus empleados para que cierren la sesión o bloqueen sus ordenadores (Windows + L para Windows, Comando + Control + Q para macOS) siempre que se alejen de sus escritorios. Implemente el bloqueo automático de pantalla tras un breve periodo de inactividad (por ejemplo, 1-2 minutos) para evitar accesos no autorizados.
- Escritorio limpio y políticas de seguridad documental: Los empleados nunca deben dejar documentos, notas o dispositivos de almacenamiento confidenciales (USB, discos duros) desatendidos en los escritorios. Utilice cajones cerrados con llave para el papeleo confidencial y exija la trituración de los documentos delicados antes de eliminarlos.
- Restrinja el acceso no autorizado a las salas de reuniones y pizarras: Anime a los equipos a borrar la información confidencial de las pizarras después de las reuniones y asegúrese de que los debates clasificados no tengan lugar en zonas abiertas donde personas no autorizadas puedan escuchar.
- Vigile a los visitantes e interrogue a las personas sospechosas: Enseñe a los empleados a interrogar educadamente a cualquier persona que no reconozcan y a denunciar inmediatamente a los visitantes sin escolta. Implante una política de insignias para los visitantes y exija que todos los visitantes vayan acompañados en todo momento.
- Utilice un control de acceso e impresión seguro para los equipos de oficina: Implante la «impresión pull», que exige la autenticación antes de imprimir documentos, impidiendo que personas no autorizadas accedan a impresiones delicadas.
Tailgating: Conclusiones
Los ataques de tailgating suelen aprovecharse de empleados desprevenidos. Por eso el conocimiento es clave. Es absolutamente vital que los empleados estén formados y armados con conocimientos.
Puede proporcionarles un curso gratuito de concienciación sobre seguridad y privacidad para asegurarse de que no vuelvan a caer en un ataque de tailgating. Cada vez que su empresa contrate a un nuevo becario, debe asegurarse de proporcionarle formación básica sobre ciberseguridad, ya que el 99% de los becarios ignora por completo que existen este tipo de ataques.
Ninguno de estos consejos servirá de nada si no se mantiene alerta y desconfía de todos los que no conozca. Sujetar la puerta a una persona que «llega tarde» parece inofensivo, pero esa decisión tiene mucho peso. Como empleado, usted es responsable de que nadie, salvo el personal autorizado, entre en el edificio o edificios.
¿Quiere saber más sobre las estafas de ingeniería social y cómo evitarlas? Consulte nuestra extensa guía aquí.
