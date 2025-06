Puede poner a todos en formación de vanguardia y desarrollar políticas herméticas. Si las personas no tienen las herramientas que necesitan para practicar lo que predica, todo equivale prácticamente a nada.

Volvamos a la historia que conté arriba. Me tomé algunas libertades creativas. No es cierto que nadie se fijara en mí. Una persona lo hizo: la mujer a la que seguí hasta el edificio.

Verá, para entrar, los empleados necesitaban pasar una tarjeta de identificación. Yo no tenía, así que tuve que recurrir al antiguo arte del tailgating, es decir, seguir muy de cerca a alguien para que le abra la puerta porque cerrársela en las narices sería de mala educación.

Mientras seguía a esta mujer, me di cuenta de que sabía que algo estaba pasando. La mirada que me lanzó lo decía todo. Creyendo que me habían descubierto, me preparé para que algún fornido guardia de seguridad me cogiera en brazos y me echara al estilo de los dibujos animados.

Para mi sorpresa, no sucedió. Pude ir de un lado a otro colocando USB como el hada del malware durante horas antes de escenificar el enfrentamiento culminante en el mostrador de recepción.

Y mientras estaba allí, mirando a la recepcionista imprimir mi currículo, capté parte de una curiosa conversación que tenía lugar justo detrás de mí. Alguien estaba describiendo a alguien que había visto, y seguro que se parecía mucho a mí. Mi atuendo. Mi altura. Mi color de pelo.

Con cuidado, rápidamente, miré por encima de mi hombro. Allí estaba. La mujer de la puerta, me describió a un guardia de seguridad, que estaba escaneando a través de la alimentación de la cámara en su computadora portátil. Buscándome mientras yo estaba a solo unos metros.

De alguna manera, todavía pude escabullirme sin ser detectada.

Cuando volví a hablar de los resultados de mi evaluación con mi cliente, lo primero que le pregunté fue: "¿Por qué ha tardado tanto?" La mujer me vio cuando entraba en el edificio, pero no me denunció hasta tres o cuatro horas después.

Investigamos un poco y resultó que había querido denunciarme mucho antes. Solo que no sabía cómo hacerlo. Tardó un par de horas en encontrar la dirección de correo electrónico correcta y un par más en que los de seguridad se pusieran en contacto con ella.

Veo mucho este tipo de cosas: una persona me pilla corriendo. Yo digo: "¡Gracias!" con mi voz más alegre. Me miran de arriba abajo. No me reconocen. Pero, ¿qué se supone que deben hacer?

No saben qué decir. No saben cómo impedir que alguien los siga, ni cómo rechazar educadamente la solicitud de un extraño de utilizar una impresora. A las personas no necesariamente se les enseña a cuestionar a los demás cuando es parte de la naturaleza humana querer ayudar, y mucho menos a decir directamente “no”.

Lo que quiero decir es que no basta con dar órdenes del tipo "No deje entrar a extraños en el edificio" o "Informe a seguridad de las personas sospechosas". Explique exactamente a los empleados cómo es ese proceso y ofrézcales oportunidades de practicar como parte de su formación.

Si ve a alguien caminando sin una tarjeta de identificación y no le resulta familiar, deténgalo. Pregunte: "¿Puedo ayudarle? Vamos a registrarle". Si alguien le pide usar una impresora, diga: "Primero necesito ver sus credenciales, ¡es solo una cuestión de formalidad! Vamos a seguridad rápido".

Y no espere que la gente memorice estos pasos. Es fácil ponerse nervioso cuando uno se enfrenta a algo real. Asegúrese de que cada estación de trabajo (cada dispositivo y escritorio) tenga una guía disponible para responder a ataques de ingeniería social físicos y digitales. Incluya números de teléfono, direcciones de correo electrónico e instrucciones de presentación de informes importantes paso a paso.

Si esa mujer hubiera podido actuar en cuanto me vio, nunca habría podido engañar a la recepcionista.

Así que, si lo piensa bien, es culpa suya. No es mía.