El «tailgating» (también conocido como «piggybacking») es un ataque físico de ingeniería social en el que una persona intenta entrar en una zona restringida en la que, de otro modo, no tiene permiso para estar.
En esta guía, trataremos:
- qué es el tailgating;
- algunos ejemplos de casos reales de seguimiento;
- lo que puedes hacer para evitar los ataques por alcance.
¿Qué es el Tailgating?
Es cuando alguien accede a una zona restringida (edificio, espacio específico de oficina, etc.) donde no está permitido.
En la práctica, puede consistir en seguir a alguien de cerca, pedirle que «¡Sujete la puerta, por favor!», o hacerse pasar por un repartidor o una persona de reparaciones.
La principal diferencia con otras formas de ingeniería social es que el tailgating es una intrusión física. En este sentido, está más cerca del cebo.
En su origen, el término «tailgating» se refiere a «seguir a otro vehículo demasiado de cerca». Así es como el término acabó cooptándose en su definición de ingeniería social.
Ir a la cola: Ejemplos reales
Entonces, ¿cómo es en la práctica un ataque a rebufo? He aquí algunos escenarios habituales.
- Seguimiento de «repartidores«: los atacantes se hacen pasar por una persona de servicio, como mensajeros, personal de mantenimiento o repartidores de comida, para acceder a zonas restringidas.
- Robo de credenciales: los atacantes pueden obtener credenciales de acceso mediante tácticas de ingeniería social, como hacerse pasar por nuevos empleados que olvidaron sus credenciales.
- Seguimiento asistido por tecnología: los atacantes pueden utilizar la tecnología, como los escáneres RFID ocultos, para clonar las tarjetas de acceso y conseguir entrar sin autorización más tarde.
Ahora, veamos algunos casos reales de ataques por alcance.
Caso nº 1: La brecha de seguridad del aeropuerto de Múnich
En agosto de 2024, un noruego de 39 años consiguió embarcar en dos vuelos sin billete durante dos días consecutivos.
De algún modo, consiguió eludir la seguridad del aeropuerto de Munich siguiendo de cerca a los pasajeros con tarjetas de embarque legítimas.
El primer día, fue detectado y detenido una vez a bordo del avión, ya que no tenía asiento reservado. Sorprendentemente, al día siguiente repitió el acto, embarcando en un vuelo de Lufthansa con destino a Estocolmo sin ser detectado.
Este incidente dio lugar a investigaciones sobre los protocolos de seguridad del aeropuerto de Múnich y puso de manifiesto la vulnerabilidad de las medidas de control de acceso.
Caso nº 2: Diplomáticos rusos vetados acceden a zonas restringidas del Parlamento británico
En diciembre de 2024, diplomáticos rusos accedieron a zonas restringidas de las Cámaras del Parlamento británico. Esto constituyó una importante violación de la seguridad.
Desde 2022 está en vigor una prohibición de visitas de funcionarios rusos.
Al parecer, el grupo de diplomáticos se había unido a una visita pública a las Casas del Parlamento. Entonces se separaron del grupo y consiguieron entrar en una zona restringida antes de que los descubriera la seguridad.
Por suerte, fueron detenidos antes de que se produjeran daños. Sin embargo, el incidente puso de manifiesto el grave riesgo que supone ir a rebufo en el interior de edificios gubernamentales.
Caso nº 3: Atrápame si puedes (Frank Abagnale)
Frank Abagnale fue un conocido estafador e impostor que, en la década de 1960, llevó a cabo con éxito numerosas actividades fraudulentas aprovechándose de tácticas de ingeniería social, entre ellas la del «tailgating».
Se hizo pasar por piloto de Pan Am, accediendo sin autorización a las instalaciones aeroportuarias e incluso viajando gratis siguiendo con confianza al personal de la aerolínea.
Abagnale también se hizo pasar por médico y abogado, utilizando su encanto y capacidad de manipulación para ganarse la confianza y acceder a zonas restringidas sin las credenciales adecuadas. Su habilidad para pasar desapercibido y explotar la confianza humana le permitió cobrar millones de dólares en cheques fraudulentos antes de ser descubierto.
Tras cumplir condena, trabajó más tarde con el FBI como consultor de seguridad, ayudando a las organizaciones a prevenir el fraude y los ataques de ingeniería social. Su historia se hizo famosa en la película Atrápame si puedes, con Leonardo di Caprio.
¿Cómo Prevenir el Tailgating en tu empresa?
Un ataque de seguimiento puede ser especialmente peligroso para las organizaciones medianas y grandes, ya que hay mucho en juego. Algunos ejemplos son:
- robar secretos de la empresa, dinero y/o equipos
- instalar una puerta trasera en el servidor para espiar todas las conversaciones de la red de la empresa.
Si trabajas para una empresa mediana, deberías empezar a desafiar a todo el que quiera acceder a las instalaciones.
Al principio puede parecer descortés e incómodo. Sin embargo, redunda en beneficio de tu empresa. Pide a la dirección que instale escáneres biométricos y torniquetes que impidan que una persona que va a la cola entre sin más en el edificio.
Los escáneres biométricos y los torniquetes impiden que la persona que te sigue camine contigo dentro del edificio, ya que sólo permiten una persona a la vez. Además, debes desafiar a ese individuo y hacerle preguntas que sólo los empleados conocerían.
Aunque parezca sencillo, el «tailgating» o «piggybacking» puede ser una forma eficaz que tus competidores pueden utilizar para espiar a tu empresa. Más información sobre cómo proteger tu empresa del espionaje de datos y proteger tus ordenadores.
¿Y si un atacante consigue entrar?
Puede que no siempre tengas el control de cómo accede la gente a un edificio. Por ejemplo, si alquilas oficinas dentro de un edificio más grande. En este caso, lo más probable es que la política de acceso no esté en tus manos.
En este caso, hay varias medidas que puedes tomar para protegerte a pesar de todo:
- Bloqueo automático de pantalla y cierre manual de sesión: forma a los empleados para que cierren la sesión o bloqueen sus ordenadores (Windows + L para Windows, Comando + Control + Q para macOS) siempre que se alejen de sus mesas. Implementa el bloqueo automático de pantalla tras un breve periodo de inactividad (por ejemplo, 1-2 minutos) para evitar accesos no autorizados.
- Escritorio limpio y políticas de seguridad documental: los empleados nunca deben dejar documentos, notas o dispositivos de almacenamiento confidenciales (USB, discos duros) desatendidos en los escritorios. Utiliza cajones cerrados con llave para el papeleo confidencial y exige la trituración de los documentos sensibles antes de eliminarlos.
- Restringe el acceso no autorizado a las salas de reuniones y pizarras: anima a los equipos a borrar la información confidencial de las pizarras después de las reuniones y asegúrate de que los debates clasificados no tengan lugar en zonas abiertas donde personas no autorizadas puedan escuchar.
- Vigila a los visitantes y reta a las personas sospechosas: enseña a los empleados a retar educadamente a cualquier persona que no reconozcan y a denunciar inmediatamente a los visitantes sin escolta. Implanta una política de tarjetas de visitante y exige que todos los invitados vayan acompañados en todo momento.
- Utiliza un control de acceso e impresión seguro para los equipos de oficina: implanta la «impresión pull», que exige la autenticación antes de imprimir los documentos, impidiendo que personas no autorizadas accedan a impresiones sensibles.
La vuelta al cole: Palabras finales
Los ataques a la cola suelen aprovecharse de empleados desprevenidos. Por eso el conocimiento es el rey. Es absolutamente vital que los empleados estén formados y armados con conocimientos.
Puedes proporcionarles un curso gratuito de concienciación sobre seguridad y privacidad para asegurarte de que no vuelven a caer en un ataque de seguimiento. Cada vez que tu empresa contrate a un nuevo becario, debes asegurarte de proporcionarle formación básica sobre ciberseguridad, ya que el 99% de los becarios ignora por completo que existen este tipo de ataques.
Ninguno de estos consejos servirá de nada si no te mantienes alerta y desconfías de todos los que no conoces. Sujetar la puerta a una persona que «llega tarde» parece inofensivo, pero esa decisión tiene mucho peso. Como empleado, eres responsable de que nadie, salvo el personal autorizado, entre en el edificio o edificios.
¿Quieres saber más sobre las estafas de ingeniería social y cómo evitarlas? Consulta nuestra extensa guía aquí.