Tailgating: un truco de ingeniería social desconocido, pero peligroso

Si buscas la palabra tailgating en Google en este momento, es posible que encuentres una definición que te dejará curioso (o aun confundido) en cuanto a por qué estamos hablando de eso. En el idioma inglés, ese término se usa para hacer referencia al acto peligroso de conducir tu automóvil muy cerca del vehículo que circula adelante, una estrategia común para pasar por las barreras automáticas de los peajes sin pagar, por ejemplo. Sin embargo, el tailgating del que vamos a hablar aquí no tiene absolutamente nada que ver con los coches ni con las buenas prácticas de conducción.

Estamos hablando del segundo uso del término, que se refiere a una desconocida, pero bastante peligrosa estafa de ingeniería social. De modo similar a lo que hace un conductor en la situación que describimos, en un tailgating, el delincuente se aprovecha de la proximidad de una persona autorizada —como un colaborador de una empresa, por ejemplo— a entrar a un área restringida para invadirla, ya sea siguiendo al colaborador con permiso de acceso o creando una situación para que lo deje pasar.

Apelando a la emoción para convencer

Imagina que trabajas para una gran corporación, cuyas instalaciones ocupan un edificio entero. Hay guardias y cámaras de seguridad por todos lados. Para ingresar, debes presentar tu tarjeta magnética, ¡única e intransferible!, en el molinete. Sin embargo, mientras lo estás haciendo, se te acerca un tipo y te dice que perdió su tarjeta. Está bien vestido, es cordial y te pide que le permitas el acceso, ya que llegará tarde a una reunión.

En esta situación, ¿cómo reaccionarías? Desafortunadamente, la mayoría de las personas, dejándose llevar por un sentimiento de compasión, haría girar el molinete para que el supuesto compañero de trabajo desconocido pudiera pasar. ¿Qué nos dirías si te dijéramos que este compañero de trabajo es, en realidad, un delincuente que usó una artimaña emocional para convencer a un individuo con acceso privilegiado a que le diera un pase libre a las instalaciones de la empresa para, de esa forma, poder robar bienes, revisar documentos e incluso infectar computadoras con un pen drive?

Esta es una estafa de tailgating. En un momento en el que las empresas están volviendo poco a poco al trabajo presencial (o híbrido, en el que los profesionales son libres para actuar de forma asignada cuando lo deseen), esta amenaza, que muchos ya habían olvidado al hablarse de ingeniería social, vuelve a ser bastante seria, ya que la presencia de un ciberdelincuente o un espía dentro del perímetro físico de la empresa puede acarrear consecuencias tan graves como ser infectado por malware.

Lo más curioso del tailgating es que puede adoptar muchas formas. Además del ejemplo que dimos, el delincuente puede presentarse en la entrada portando una cantidad excesiva de cajas (posiblemente vacías) y pedir que le habiliten el paso por los molinetes alegando que no logra agarrar la credencial que lleva en el bolsillo, porque “está cargando mucho peso”. También puede llevar un uniforme cualquiera y alegar que es un prestador de servicios contratado para alguna función, pero que no ha podido, desde la recepción, contactarse con la persona que lo llamó.

En todas estas situaciones y otras que la imaginación humana puede inventar, el invasor siempre intentará aprovecharse de la empatía, la prisa, la inocencia o la buena voluntad de un empleado con acceso al lugar privilegiado, para que él, por su propia voluntad, le abra la puerta, permitiéndole entrar. Cuando ya esté dentro de la empresa, tendrá mucho tiempo y casi ninguna supervisión para poner en práctica sus planes malignos.

A veces, demasiada educación puede ser peligrosa

Y de nada servirá invertir en recursos tecnológicos como llaveros de radiofrecuencia, bloqueos de contraseña, identificación biométrica o reconocimiento facial para impedir el paso de personas no autorizadas: si el ingeniero social es capaz de convencer a un colaborador autorizado, inevitablemente podrá entrar al recinto.

La mejor manera de eliminar esta amenaza es, lo reiteramos, tener conocimiento de este tipo de delito para no caer en la trampa del delincuente. Por más grosero que pueda parecer ignorar a un ejecutivo que llega tarde a una reunión, a una persona que carga cajas pesadas o a un prestador de servicios aturdido, esta es la conducta que se debe adoptar para evitar que ocurra un tailgating. Explica amablemente que no estás autorizado a permitir el acceso a otras personas y, de preferencia, comunícale la situación a una persona responsable. También es importante estar atento a cualquier persona sospechosa que veas en tu entorno de trabajo; si tienes dudas, notifica a la gerencia de inmediato.

Artículo originalmente escrito en portugués por el Equipo de Contenido de Perallis Security: Tailgating: um desconhecido, porém perigoso, truque de engenharia social — Perallis Security

Conteúdo relacionado: Hacker Rangers - Gamificação para conscientização em cibersegurança