El enorme riesgo de ciberseguridad que está pasando por alto: su oficina.

Dispone de los últimos y mejores filtros antispam en la cuenta de correo electrónico de todo el mundo. Herramientas de detección y respuesta de endpoints en todos los dispositivos proporcionados por la empresa. Un sistema de detección y prevención de intrusiones protege las puertas de su red, gritando "¡Alto!" a cada paquete que lo mire de forma extraña.

Sus sistemas están totalmente bloqueados. Aquí no entrarán hackers .

Pero la puerta principal de su edificio de oficinas es otra historia. Es probable que un atacante pueda entrar sin problemas.

Confíe en mí. Lo sé por experiencia. Yo soy quien entra sin problemas.

Una de las partes más divertidas de ser jefe de personal del departamento de hackers de IBM es que puedo hacer evaluaciones de seguridad física. Básicamente, entro en los edificios de los clientes (¡con permiso!) para ayudar a identificar fallos en sus defensas físicas.  

Y cuando estoy dentro, puedo hacer mucho daño. ¿Ese ordenador portátil desatendido en la sala de descanso? ¡Me lo llevo!. Ahora es mío, junto con el acceso a todos los documentos a los que puede acceder su propietario. ¿Esos archivos confidenciales sobre un escritorio en una oficina vacía y sin llave? También son míos.

La mayoría de nosotros pensamos en la ciberseguridad como un asunto puramente digital. Es lógico, ya que la palabra "ciber" forma parte del nombre. Pero los ciberataques pueden comenzar aquí mismo, en el mundo físico, y no me refiero a robots inteligentes con ganas de pelea (al menos, no todavía).

Me refiero a personas externas malintencionadas, e incluso usuarios internos negligentes, que pueden poner en peligro sus sistemas informáticos directamente desde su edificio. ¡La amenaza viene desde dentro!

A medida que más organizaciones vuelven a traer a sus empleados a la oficina, estos ataques físicos podrían volverse más comunes y tener más éxito. Después de años de teletrabajo, muchos de nosotros hemos perdido la costumbre de tomar medidas de seguridad en nuestras oficinas.

Veamos algunos riesgos de ciberseguridad física y lo que las organizaciones pueden hacer para combatirlos. 

Las intrusiones físicas pueden manifestarse de muchas maneras, pero según mi experiencia, tienden a ocurrir en tres etapas:

• Etapa 1: Recopilar información
• Etapa 2: Obtener acceso
• Etapa 3: Ejecutar del ataque

Analicemos estas etapas.

La primera fase de una evaluación física de IBM X-Force es la recopilación de información sobre nuestros objetivos. Por supuesto, no le pedimos esta información al cliente. Porque no lo necesitamos. Es sorprendente lo que se puede descubrir sobre una empresa simplemente observando a sus empleados en su vida diaria.

Por ejemplo, podría visitar la cuenta de Instagram de la empresa para buscar fotos de los empleados. ¿Llevan uniforme? ¿Tienen un código de vestimenta? Es una información que puedo utilizar para integrarme. (Y usted pensaba, o mejor dicho, esperaba, que nadie miraría las fotos de la fiesta de Navidad de la oficina).

Si tengo mucha suerte, quizá pueda echar un vistazo a la tarjeta identificativa de algún empleado, lo que me ayudará a falsificar una convincente. No me permitirá entrar, pero al menos no llamaré la atención mientras paseo por el campus.

Quizá encuentre una lista de proveedores en su sitio web. Ahora puedo hacerme pasar por el repartidor de material de oficina.

Quizás me acerque a su edificio y haga un pequeño reconocimiento. ¿Qué puertas utilizan los empleados? ¿Hay entradas separadas para el público? ¿Tienen seguridad y dónde se encuentran?

Incluso los detalles más insignificantes pueden usarse en su contra. Por ejemplo, podría averiguar su horario de recogida de basura. Es extraño, lo sé, pero siga mi razonamiento: si el día de recogida de basura es el miércoles, paso por allí el martes por la noche porque sé que los cubos estarán llenos. Eso significa que hay muchas posibilidades de que encuentre una contraseña de red garabateada en un post-it, o un memorándum confidencial que alguien no se molestó en triturar.

(Sé cómo me está mirando ahora mismo. Puedo sentirlo a través de la pantalla. ¡No es que disfrute esta parte del trabajo! Así que si pudiera destruir sus documentos confidenciales, sería fantástico para mí. De verdad).

Me gustaría poder decir que utilizo maniobras dignas de James Bond para entrar en los edificios de mis clientes, pero la verdad es que suelo entrar por la puerta principal con todos los demás. Se trata de un método de ataque denominado "tailgating".

El tailgating es cuando una persona malintencionada sigue a una persona autorizada para entrar en una zona segura. Piense en un edificio de oficinas: los empleados suelen necesitar algún tipo de tarjeta o llavero para abrir la puerta. Como atacante, es obvio que usted no tiene uno. Así que lo que hace es caminar cerca de un empleado para que, cuando pase con su tarjeta, le mantenga la puerta abierta o usted pueda cogerla antes de que se cierre.

Resulta que el tailgating tiene muchísimo éxito. ¡La gente es educada! Aunque saben que no deberías estar ahí, la mayoría no se atreve a decir nada. Es demasiado incómodo. Y la ingeniería social se basa precisamente en este tipo de reacciones tan humanas.

Esto no quiere decir que los delincuentes nunca entren en los edificios a la antigua usanza. Simplemente que no les hace falta.

Cuando entro, probablemente voy a robar algo. (Bueno, ¡fingiré que voy a robar algo!). Los documentos y dispositivos confidenciales que se dejan a la vista son los principales objetivos, pero eso no es todo. Podría robar una tarjeta de identificación de un empleado o un juego de llaves del edificio para ampliar mi acceso y volver a entrar si tengo que irme.

Si puedo conseguir un dispositivo de la empresa, puedo acceder a su red. Puedo suplantar al propietario del dispositivo y enviar correos electrónicos de phishing desde su cuenta. Puedo plantar archivos maliciosos en los directorios de la empresa.

Otra cosa divertida que puedo hacer es colocar cebos: dejar memorias USB cargadas con malware (bueno, malware falso) por el edificio.

La gente es curiosa: cuando ve una memoria USB cualquiera, siente la necesidad de conectarla y ver qué hay en ella. Quizás sea un buen samaritano que quiere averiguar quién es el propietario. Quizás solo sea un cotilla. En cualquier caso, se va a meter en un lío. Esa memoria USB le infectará en secreto con algo desagradable, como un keylogger o ransomware. 

En cualquier evaluación física, suelo fijarme en cuánto tiempo tarda alguien en detenerme. 

Recuerdo una evaluación en la que el personal de seguridad tardó cuatro horas en empezar a buscarme, a pesar de que una empleada se dio cuenta de que la había seguido al entrar al edificio. (¡Y aún así me escabullí antes de que me encontraran!)

Lo que quiero decir es que nuestras prácticas de seguridad física suelen ser bastante deficientes. Esto es lo que hay que hacer en su lugar:

Todos sabemos lo que pasa cuando se dan cosas por sentadas, ¿verdad?

Se le facilita mucho el trabajo a los malos.

Uno de los mayores errores que comete la gente en materia de seguridad física es dar por sentado que cuenta con todas las medidas de protección adecuadas. Y me refiero a cosas sencillas, como dar por sentado que la "puerta con cerradura automática" se cierra realmente de forma automática. O que la gente utiliza las trituradoras de documentos. O que los empleados detendrán a desconocidos en el pasillo para preguntarles qué están haciendo.

Entonces entro y esto es lo que encuentro: esa cerradura lleva mucho tiempo estropeada. La gente tira documentos confidenciales a la basura normal. Ven a un desconocido en el pasillo y piensan: "¡No es asunto mío!".

Todos estos pequeños fallos se suman, lo que permite a los atacantes llevar a cabo ataques sofisticados a simple vista. (Véase mi publicación anterior sobre la vez que engañé a una recepcionista para que conectara una memoria USB sin verificar a su ordenador mientras el personal de seguridad estaba justo detrás de mí, buscándome).

Animo a las organizaciones a no dar nada por sentado. Comprueben que las puertas se bloquean. No se fíen solo de la lucecita roja que se enciende al pasar la tarjeta. Prueben a tirar de la puerta. Indíquele a la gente qué documentos deben destruir. Si ven a alguien desconocido, no tengan miedo de preguntarle qué está haciendo. (Pueden hacerlo de forma educada: "Oiga, veo que no lleva tarjeta de visitante. Déjeme acompañarle a seguridad, o de lo contrario le seguirán parando"). 

La formación en ciberseguridad debería dedicar más tiempo a las prácticas de seguridad física. Quizás no sea la ruta de ataque más común, pero es un agujero enorme en las defensas de muchas organizaciones.

Piense en la formación media en ciberseguridad. Si dice algo sobre la seguridad física, lo cual es poco habitual, normalmente no va más allá de "No deje que le roben el portátil de la empresa".

La seguridad física debe tratarse con la misma profundidad que otros temas. Por ejemplo, las formaciones a menudo cubren las banderas rojas en los mensajes de phishing, como la mala gramática y las solicitudes urgentes. ¿Qué tal enseñar a las personas a detectar señales de alerta en los visitantes de la oficina, como deambular sin identificación y sin acompañante?

Cuanto más explícita sea la instrucción, mejor. Tomemos como ejemplo el tailgating. Limitarse a decirle a la gente que no deje entrar a extraños en el edificio no les prepara precisamente para responder ante un intruso en el mundo real.

En cambio, la gente debería saber exactamente cuál es el proceso cuando ven a un extraño. Por lo general, es tan simple como: "¿A quién busca? Déjeme llevarle a seguridad para que pueda registrarse". Si se trata de un visitante real, agradecerá la ayuda. Si se trata de un atacante, probablemente abortará la misión ahora que ha sido descubierto.

¿Y recuerda esa parte sobre reconsiderar las suposiciones? Ningún detalle es demasiado insignificante como para incluirlo en la formación sobre seguridad física. Indique a las personas que bloqueen los datos y dispositivos confidenciales. Asegúrese de que conocen la existencia de las papeleras para triturar documentos. Incúlqueles los peligros de las unidades USB no identificadas.

Facilite al máximo a los empleados el cumplimiento de las políticas, los procesos y las prácticas recomendadas de seguridad física, asegurándose de que tengan los recursos que necesitan al alcance de la mano.

Por ejemplo, recomiendo tener el número de teléfono y la dirección de correo electrónico de todos los contactos de seguridad en cada escritorio y en cada dispositivo. De esta forma, si ocurre algo, los empleados saben a quién informar de inmediato. También debe ser fácil llevar físicamente a los visitantes directamente a seguridad, así que considere la ubicación de un mostrador de seguridad físico.

Y asegúrese de que los empleados tengan formas de proteger sus dispositivos y documentos, como taquillas personales, archivadores con llave y candados para ordenadores en cada escritorio.

Los ciberataques no solo ocurren en línea, por lo que no puede confiar en defensas puramente digitales.

Si hay una lección importante que aprender aquí, tal vez sea esta: para la seguridad físicas, los pequeños detalles importan tanto o incluso más que el panorama general.

Por supuesto, necesita una estrategia de seguridad física, que a su vez esté vinculada a una estrategia de ciberseguridad. Pero no es necesariamente la falta de pensamiento estratégico lo que deja a las organizaciones expuestas a los ataques físicos. A menudo se trata de una cuestión práctica: ¿la gente sabe exactamente qué hacer ante las amenazas físicas y está capacitada para hacerlo?

Si se replantea sus suposiciones, invierte en una mejor formación y equipa a su personal con los recursos adecuados, podrá frustrar muchos posibles ataques. Y aunque haría mi trabajo más difícil, haría del mundo un lugar mucho más seguro.

Así que probablemente valga la pena la compensación.