El enorme riesgo de ciberseguridad que está pasando por alto: su oficina.

Etiquetas
Seguridad
7 de abril de 2025

Autores

Stephanie Carruthers

Chief People Hacker for IBM X-Force Red

Usted tiene implementados los últimos y mejores filtros de spam en la cuenta de correo electrónico de cada persona. También herramientas de detección y respuesta de endpoints en todos los dispositivos proporcionados por la empresa. Un sistema de detección y prevención de intrusiones protege las puertas de su red, y grita "¡Alto!" a cada paquete, incluso al que se ve divertido.

Sus sistemas están totalmente bloqueados. Aquí no entran hackers.

La puerta principal de su edificio de oficinas, esa es otra historia. Un atacante probablemente pueda entrar ahí.

Créame. Lo sé por experiencia. Soy quien evalúa la seguridad física.

Una de las partes más divertidas de ser Chief People Hacker de IBM es que puedo hacer evaluaciones de physical security. Básicamente, entro en los edificios de los clientes (¡con permiso!) para ayudar a identificar fallas en sus medidas de seguridad físicas.  

Y cuando estoy dentro, puedo hacer mucho daño. ¿Esa computadora portátil sin supervisión en la sala de descanso? Ya la tomé sin permiso. Ahora ya es mía, junto con el acceso a todos los documentos a los que puede acceder su propietario. ¿Esos archivos confidenciales colocados en un escritorio en una oficina vacía y sin llave? También son míos.

La mayoría de nosotros pensamos en la ciberseguridad como un asunto puramente digital. Eso tiene sentido: “ciber” está en el nombre. Pero los ciberataques en realidad pueden comenzar aquí mismo en el mundo físico, y no estoy hablando de robots conscientes con algún problema que resolver (al menos, no todavía).

Me refiero a usuarios externos maliciosos, e incluso a usuarios internos maliciosos,—que pueden poner en riesgo sus sistemas informáticos directamente desde su edificio. ¡La llamada proviene del interior de la casa!

A medida que más organizaciones traigan gente de regreso a la oficina, estos ataques físicos podrían volver más comunes y más exitosos. Luego de años de trabajar de forma remota, muchos de nosotros nos oxidamos en lo que respecta a mantener nuestras oficinas seguras.

Veamos algunos riesgos físicos de ciberseguridad y lo que las organizaciones pueden hacer para contraatacar. 

Hombre mirando una computadora

Fortalezca su inteligencia de seguridad 


Adelántese cada semana a las amenazas con novedades e información sobre seguridad, IA y más con el boletín Think. 


Suscríbase hoy

Anatomía de una intrusión física

Las intrusiones físicas pueden desarrollarse de muchas maneras, pero según mi experiencia, tienden a ocurrir en tres etapas:

  • Etapa 1: recopilación de inteligencia
  • Etapa 2: obtener acceso
  • Etapa 3: ejecución del ataque

Analicemos estas etapas.

Etapa 1: recopilación de inteligencia

La primera fase de una evaluación física de IBM X-Force es recopilar inteligencia sobre nuestros objetivos. Por supuesto, no le pedimos al cliente esta información. Porque no lo necesitamos. Es sorprendente lo que se puede descubrir sobre una empresa con solo observar a sus empleados en su vida diaria.

Por ejemplo, podría visitar la cuenta de Instagram de la compañía para ver fotos de los empleados. ¿Usan uniforme? ¿Tienen un código de vestimenta? Es información que puedo utilizar para integrarme. (Y usted pensaba— no, esperaba— que nadie mirara las fotos de la fiesta de fin de año de la oficina).

Si tengo mucha suerte, podría echar un vistazo a una insignia de empleado, lo que me ayudará a crear una falsificación convincente. No me permitirá entrar, pero me quitará calor mientras camino por el campus.

Tal vez encuentre una lista de proveedores en su sitio web. Ahora puedo personificar al repartidor de material de oficina.

Quizá me dirija a su edificio y haga una pequeña vigilancia. ¿Qué puertas usan los empleados? ¿Hay entradas separadas para el público? ¿Tienen seguridad y dónde se encuentran apostados?

Incluso los detalles que, en apariencia, son más insignificantes pueden usarse en su contra. Por ejemplo, podría averiguar su horario de recolección de basura. Raro, lo sé, pero síganme la idea: si el día de la basura es el miércoles, pasaré el martes por la noche porque sé que la basura está llena. Eso significa que hay muchas posibilidades de que encuentre una contraseña de red garabateada en un post-it o una nota confidencial que alguien no se molestó en triturar.

(Sé cómo me están mirando ahora mismo. Puedo sentirlo a través de la pantalla. ¡No es que disfrute esta parte del trabajo! Así que si pudiera triturar sus documentos confidenciales, sería genial para mí. De verdad.)

Etapa 2: obtener acceso

Me gustaría poder decir que hago algunas maniobras de James Bond para entrar en los edificios de mis clientes, pero la verdad es que suelo cruzar la puerta principal con todos los demás. Este es un método de ataque llamado “tailgating”.

Tailgating significa que un malhechor ingresa a un área restringida siguiendo a una persona autorizada. Piense en un edificio de oficinas: los empleados suelen necesitar algún tipo de tarjeta o llavero para abrir la puerta. Como atacante, obviamente no tiene uno. Así que lo que hay que hacer es caminar cerca detrás de un empleado para que, cuando entre, o bien mantenga la puerta abierta o bien pueda tomarla antes de que se cierre.

Al parecer, el tailgating es extremadamente exitoso. ¡La gente es educada! Incluso cuando saben que no perteneces a la empresa, la mayoría de ellos no quieren decir nada. Demasiado incómodo. Y la ingeniería social cuenta exactamente con este tipo de respuesta demasiado humana.

Eso no quiere decir que los criminales nunca entren en edificios a la antigua usanza. Solo que realmente no lo necesitan.

Etapa 3: Ejecución del ataque

Cuando entro, probablemente voy a robar algo. (Bueno, fingiré robar algo). Los documentos y dispositivos confidenciales que se dejan a la vista son objetivos principales, pero eso no es todo. Puedo deslizar una tarjeta de empleado o un juego de llaves del edificio para ampliar mi acceso y volver a entrar si tengo que irme.

Si puedo obtener un dispositivo de la compañía, puedo acceder a la red de la compañía. Puedo hacerme pasar por el propietario del dispositivo y enviar correos electrónicos de phishing desde la cuenta del propietario. Puedo plantar archivos maliciosos en los directorios de la compañía.

Otra cosa divertida que puedo hacer es lanzar cebos, es decir, dejar caer unidades USB cargadas con malware (bueno, malware falso) por el edificio.

La gente es graciosa: cuando ven una unidad USB al azar, sienten la necesidad de conectarla y ver qué hay en ella. Tal vez sea un buen samaritano que busca la identidad del dueño. Tal vez solo son entrometidos. De cualquier manera, están en problemas. Esa unidad USB los infectará en secreto con algo desagradable, como un keylogger o ransomware

Mixture of Experts | 25 de abril, episodio 52

Decodificación de la IA: Resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el revuelo de la IA para ofrecerle las últimas noticias e insights al respecto.
Vea los últimos episodios de podcasts

Tres pasos para mantener a los atacantes fuera de su edificio

En cualquier evaluación física dada, generalmente busco ver cuánto tiempo tarda alguien en detenerme. 

Recuerdo una evaluación en la que el personal de seguridad tardó cuatro horas en empezar a buscarme, a pesar de que una empleada se dio cuenta de que la seguía hasta el edificio. (¡Y aún así me escabullí antes de que me encontraran!)

Lo que quiero decir es que nuestras prácticas de physical security suelen ser bastante malas. Esto es lo que debe hacer en su lugar:

Reconsiderar sus suposiciones

Todos sabemos lo que pasa cuando se toman las cosas por sentado, ¿verdad?

Facilita el trabajo de un malhechor.

Uno de los mayores errores que se cometen en materia de physical security es dar por sentado que se dispone de todas las medidas de seguridad necesarias. Y hablo de cosas sencillas, como asumir que la "puerta con bloqueo automático" realmente se bloquea automáticamente. O que la gente usa las trituradoras. O que los empleados detienen a desconocidos en el corredor para preguntarle qué está haciendo.

Luego entro y esto es lo que encuentro: la cerradura de la puerta funcionó mal durante mucho tiempo. La gente tira documentos confidenciales al bote de basura normal. Al ver a un extraño en el pasillo piensan: “¡No es asunto mío!”

Todos estos pequeños fallos se suman y permiten a los atacantes llevar a cabo ataques sofisticados a plena vista. (Ver mi publicación anterior sobre la vez que engañé a una recepcionista para que conectara una unidad flash no verificada a su computadora mientras la seguridad estaba detrás de mí, buscándome).

Animo a las organizaciones a no dar por sentado nada. Verifique que la puerta se cierre y se bloquee. No confíe solo en la lucecita roja al deslizar el gafete. Jálela. Dígale a la gente qué triturar. Si ve a un extraño, no tenga miedo de preguntar qué está haciendo. (Incluso puede hacerlo educadamente: “Oiga, veo que no tiene un gafete de visitante. ¡Déjeme acompañarle a seguridad o lo seguirán pidiendo que se detenga!”). 

Ofrecer una mejor capacitación sobre physical security

La capacitación en ciberseguridad debería dedicar más tiempo a las prácticas de physical security. Puede que no sea la ruta de ataque más común, pero es un gran agujero en las medidas de protección de muchas organizaciones.

Piense en la capacitación promedio en ciberseguridad. Si dice algo sobre physical security (¡algo poco común!), generalmente no es nada más detallado que: "No deje que le roben su computadora portátil corporativa".

La physical security debe tratarse con la misma profundidad que otros temas. Por ejemplo, en las capacitaciones a menudo se incluyen las señales de alerta en los mensajes de phishing, como la mala redacción y las solicitudes urgentes. ¿Qué tal enseñar a detectar señales de alarma en los visitantes de la oficina, como deambular sin identificación ni compañía?

Cuanto más explícita sea la instrucción, mejor. Tomemos como ejemplo el "tailgating". El simple hecho de decirle a la gente que no permita que extraños entren en el edificio no los capacita exactamente para responder a una persona que practique el "tailgating" en el mundo real.

En cambio, la gente debería saber exactamente cuál es el proceso que deben seguir cuando ven a un extraño. Por lo general, es tan simple como: “¿A quién viene a ver? Déjeme acompañarle a seguridad para que pueda registrarse”. Si se trata de un visitante real, ellos apreciarán la ayuda. Si se trata de un atacante, probablemente abortará la misión ahora que lo detectaron.

¿Y recuerda aquella parte sobre reconsiderar suposiciones? Ningún detalle es demasiado menor para incluirlo en la capacitación de physical security. Dígale a la gente que guarde bajo llave los datos y dispositivos sensibles. Asegúrese de que conocen los contenedores de trituración. Enséñeles acerca de los peligros que representan las unidades USB no identificadas.

Configurar su espacio para fomentar la physical security

Facilite al máximo que los empleados sigan las políticas, los procesos y las mejores prácticas de physical security asegurándose de que disponen de los recursos que necesitan al alcance de la mano.

Por ejemplo, recomiendo tener el número de teléfono y la dirección de correo electrónico de todos los contactos de seguridad en cada escritorio y en cada dispositivo. De esa manera, si algo sucede, los empleados saben a quién informar de inmediato. También debería ser fácil llevar físicamente a los visitantes directamente con las personas de seguridad, así que considere la colocación de un mostrador de physical security.

Y asegúrese de que los empleados tengan formas de proteger sus dispositivos y documentos, como casilleros personales, archiveros con llave y candados de computadora en cada escritorio.

La ciberseguridad comienza con la physical security

Los ciberataques no solo ocurren en línea, por lo que no puede confiar en medidas de seguridad puramente digitales.

Si hay que aprender una lección importante de todo esto, quizá sea esta: para physical security, los pequeños detalles importan tanto o incluso más que el panorama general.

Por supuesto, necesita una estrategia de physical security, que a su vez está ligada a una estrategia de ciberseguridad. Pero no es necesariamente la falta de pensamiento estratégico lo que deja a las organizaciones abiertas a los ataques físicos. A menudo es una cuestión de practicidad: ¿Las personas saben exactamente qué hacer con las amenazas físicas y están capacitadas para hacerlo?

Al replantear sus suposiciones, invertir en una mejor capacitación y dotar a las personas con los recursos adecuados, puede frustrar muchos posibles ataques. Y aunque mi trabajo sería más difícil, haría del mundo un lugar mucho más seguro.

Así que probablemente valga la pena el sacrificio. 
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Ya sea que necesite una solución de seguridad de datos, gestión de endpoints o gestión de identidad y acceso (IAM), nuestros expertos están listos para trabajar con usted para lograr una postura de seguridad sólida. Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.

         Explore las soluciones de ciberseguridad Descubrir los servicios de ciberseguridad