¿Qué es el "Tailgating" y cómo prevenirlo?

¿Te ha pasado que vas entrando a un edificio y por cortesía le abres la puerta a una persona que va entrando cargada con cosas o las manos ocupadas? ¿O quizás por amabilidad brindas el pase a un vehículo que espera entrar a una zona privada? ¿o qué me dices del repartidor de comida al que le permitiste entrar porque no daba con la dirección, o al compañero de trabajo que olvidó su gafete?

Si has participado en esto, fuiste parte de algo conocido como "Tailgating".

"Tailgating" se refiere a cuando un adversario logra introducirse a una zona restringida donde el acceso no está supervisado o está controlado con medios electrónicos.

Hay otras formas de "tailgating" como los empleados que llegan tarde y piden a sus compañeros les permitan entrar juntos para no registrar el acceso. Vehículos que se pegan al de adelante para entrar en caravana en una zona donde se tienen sensores volumétricos de control de accesos. La clave aquí es que el "tailgaiting" se debe considerar como un ataque o violación a los controles físicos de las empresas que pone en riesgo a las personas, la propiedad y los procesos.

Para incrementar las posibilidades de éxito, un atacante puede llegar a tener interacción con miembros de la organización, pensemos en que saca platica a alguien en el estacionamiento y sigue conversando hasta pasar por alguna zona de revisión, si nuestros oficiales de seguridad o el mismo colaborador no está alerta, puede brindar el acceso al edificio a un desconocido. Esto es tan grave como dejar entrar a un extraño en tu casa.

El "tailgating" es siempre una de las amenazas más frecuentes en control de accesos. Y parece que la solución más simple es educar a los colaboradores de no permitir que esto ocurra reportando conductas sospechosas o utilizando controles electrónicos, pero siendo honestos, todo eso resulta inútil a veces por simples gestos de amabilidad. Qué justamente es lo que explotan los adversarios.

Desde niños nos educan para ser amables, en las empresas nos hablan del servicio al cliente y la experiencia del usuario, por ello nos sentimos bien cuando ayudamos a alguien, aunque esa ayuda signifique darle acceso al corazón de nuestra empresa. Esa amabilidad puede resultar muy costosa si compromete la seguridad al permitir que un exempleado hostil o un delincuente ingrese a tus oficinas corporativas, centro de distribución o de trabajo.

El adversario estudia y conoce que nuestra naturaleza humana no siempre va emparejada con las políticas y controles de seguridad, porque incluso cuando vemos a un desconocido y nos causa sospecha, un gran porcentaje sigue su camino o es indiferente porque desafiar a un extraño va en contra de su personalidad o tiene temor a ser considerada como exagerada o grosera con un visitante, por ejemplo un guardia en un hospital que ve a alguien con apariencia médica o en un corporativo al ver a alguien con vestimenta formal fingiendo estar sumamente ocupado en una llamada y con urgencia de ingresar al edificio.

El "tailgating" no funciona en todos los escenarios empresariales, como en las grandes empresas, donde todo el que entra a un edificio está obligado a pasar una tarjeta. Sin embargo, en empresas de tamaño mediano, los atacantes pueden iniciar conversaciones con los empleados y usar esta aparente familiaridad para superar los controles de la recepción.

Lo que busca fundamentalmente un atacante de "tailgating" es obtener acceso físico al sitio, a como dé lugar (entrando a una zona restringida, control de acceso electrónico P. Ej. por tarjeta de RFID, simplemente camina detrás de una persona que tenga acceso legítimo, apoyándose en la cortesía de la víctima: la persona legítima tenderá a sostener la puerta a un atacante, o estos mismos pueden pedirle que se las sostenga).

Esto lo hemos analizado desde el ámbito empresarial, pero ¿qué sucede en los controles de acceso a fraccionamientos/condominios?. Exactamente lo mismo, cuándo en el lugar se cuenta con guardias de seguridad privada o veladores es fácil que exista la misma modalidad del "tailgating", esto porqué los guardias llegan a conocer a los residentes, visitantes y hasta proveedores, en dónde si uno de estos les comienza a regalar el refresco por una temporada de calor, una torta o algo, es sencillo que ellos tomen confianza de verlos pasar todos los días, a lo que si el residente, visitante o proveedor no trae una identificación o algo, estos les darán el acceso sin problema alguno.

La clave para contrarrestar los ataques de ingeniería social de tipo "tailgating" es:

¡MANTENER LOS OJOS BIEN ABIERTOS y ESTAR ATENTO en el lugar de trabajo!