self.post_img_alt

Cómo un Atacante Puede Entrar en tu Oficina con una Sonrisa y Salir con tus Secretos

  • Alex De los Llanos Dueñas
  • Septiembre 2025

He entrado en más oficinas "seguras" de las que puedo contar. He paseado por delante de directores generales, he tomado café en la cocina de empresas del IBEX 35 y he estado a dos metros de un centro de datos con una simple carpeta bajo el brazo. Y en la mayoría de los casos, no he tenido que hackear ni una sola contraseña. No he usado tecnología sofisticada. Mi principal herramienta ha sido la cara dura y una profunda comprensión de la naturaleza humana.

Vivimos obsesionados con la seguridad digital. Invertimos fortunas en firewalls, en sistemas de detección de intrusos y en proteger nuestras redes de ataques que vienen de la otra punta del mundo. Y mientras hacemos todo eso, dejamos la puerta principal de nuestra casa abierta de par en par. Creemos que un torno en la entrada y una tarjeta de acceso son un escudo impenetrable. Pero la realidad es que el eslabón más débil de toda tu seguridad física no es el lector de tarjetas; es la tendencia innata de tu recepcionista a ser amable o el miedo de tus empleados a parecer maleducados.

Los atacantes lo saben. Y se aprovechan de ello con una eficacia brutal. Las técnicas de las que te voy a hablar no son nuevas. Son tan viejas como el espionaje mismo. Pero en un mundo que ha puesto toda su fe en la tecnología, se han vuelto más efectivas que nunca. Bienvenidos al teatro de la seguridad física.

El Baile del Simpático: Tailgating, o el Arte de Seguirte el Rollo

La técnica más simple, más común y más devastadora es el tailgating. El nombre técnico suena complicado, pero la ejecución es de una simpleza insultante: consiste en colarse detrás de un empleado autorizado que acaba de pasar su tarjeta por el torno o la puerta. Y funciona casi siempre. ¿Por qué? Porque explota nuestra programación social más básica.

Piensa en esta escena. Un empleado tuyo llega a la puerta de la oficina. Justo cuando va a pasar su tarjeta, ve que detrás viene una persona cargada con dos cafés y una caja de donuts, con cara de apuro. ¿Qué hace tu empleado? Lo que haría cualquier persona normal y educada: sonríe y le sujeta la puerta. "Pasa, pasa". Acaba de dejar entrar a un desconocido en la zona segura. Nadie le va a preguntar nada, porque ha entrado con alguien "de la casa". Ya es uno más.

He usado esta técnica docenas de veces. Con las manos ocupadas, fingiendo una llamada importante ("¡Sí, ya estoy subiendo, dile que me espere en la sala de juntas!"), o simplemente caminando con la confianza de quien lleva trabajando ahí diez años. La gente se aparta. Te sujeta la puerta. Nadie quiere ser el borde que le cierra la puerta en las narices a un compañero. Nadie quiere montar una escena. Y esa aversión al conflicto es la llave maestra del atacante.

El Disfraz de Confianza: Pretexting, o la Historia que te Crees

Si el tailgating es la técnica de fuerza bruta, el pretexting es el arte del engaño. Aquí el atacante no se cuela, le invitan a pasar. El pretexting consiste en inventarse una historia creíble, un pretexto, para justificar tu presencia. El disfraz no es la ropa; el disfraz es la historia.

Y estas historias se preparan. Antes de acercarse a tu oficina, el atacante ha hecho los deberes. Ha mirado en LinkedIn quién es el director de RRHH, ha estudiado el tipo de proveedores que tenéis, ha visto en vuestra web que estáis contratando. Llega a tu recepción y no dice "vengo a ver a alguien". Dice: "Hola, buenos días, tengo una entrevista con Marta García a las 10:30". La recepcionista ve el nombre de la jefa de RRHH, ve a una persona bien vestida y con un currículum en la mano, y su cerebro rellena los huecos. No lo comprueba. Le abre la puerta y le dice "tercera planta, al fondo a la derecha". Y ya está dentro.

Los pretextos más efectivos son los que nos desarman porque apelan a la autoridad o a la urgencia. El clásico "técnico de la impresora" con un chaleco y una caja de herramientas. El "auditor de prevención de riesgos" con una carpeta y cara de pocos amigos. El "mensajero con un paquete urgente para el departamento legal". Nadie se atreve a cuestionar a esta gente. Parecen estar haciendo su trabajo. Les dejamos pasar, les indicamos dónde está lo que buscan y les dejamos solos. A veces, incluso les ayudamos. He visto a empleados sujetarle la escalera a un falso técnico mientras este colocaba un dispositivo para robar datos en el techo.

Infografia Ingeniería Social Física. Minery Report

Construyendo el Escudo Humano: De la Cortesía a la Conciencia

Entonces, ¿qué hacemos? ¿Nos volvemos todos unos maleducados y desconfiados? No, en absoluto. La solución no es eliminar la amabilidad, sino añadirle una capa de conciencia de ciberseguridad. La solución es entrenar a tu gente para que se conviertan en un escudo humano.

  1. La Política del "Perdona, ¿nos conocemos?". Esta es la regla más importante y la más difícil de implementar. Tienes que crear una cultura en la que cualquier empleado, desde el becario hasta el director, se sienta con el poder y la obligación de preguntarle a un desconocido que ve por el pasillo: "Hola, disculpa, ¿puedo ayudarte en algo? Es que no te reconozco". Sin acritud, con amabilidad. El 99% de las veces será un cliente perdido o un nuevo compañero. Pero ese 1% de las veces, será un intruso. Y la simple pregunta, el simple hecho de haber sido detectado, hará que la mayoría de ellos se den media vuelta y se vayan. Y para que esto funcione, es vital que cuando un empleado lo haga, sea felicitado públicamente, incluso si la persona a la que ha parado era el nuevo CEO que nadie conocía.
  2. La Recepción es tu Primera Muralla, no un Felpudo. Tu equipo de recepción no está ahí solo para sonreír y coger el teléfono. Son tu primera línea de defensa. Deben tener una instrucción clara: NADIE entra sin ser verificado. Si alguien dice tener una reunión con un empleado, se llama a ese empleado para que baje a buscarlo. Si es un técnico, se llama al departamento que lo ha solicitado para confirmar. Si es un mensajero, el paquete se queda en recepción. Sin excepciones.
  3. La Regla del Acompañante Permanente. Ningún visitante, sea quien sea, puede deambular solo por tus oficinas. Nunca. Un empleado debe acompañarle desde que entra hasta que sale. Esto evita que el "técnico de la impresora" se "pierda" y acabe casualmente al lado del despacho del director financiero.

Conclusión

La mayor amenaza para la seguridad física de tu empresa no es un ladrón con una palanqueta. Es un actor con una buena historia. La mejor defensa, por tanto, no es una puerta más gruesa, sino un equipo consciente, entrenado y que entiende que la seguridad del edificio es responsabilidad de todos, no solo del guardia de la entrada.

Si quieres saber cómo de fácil sería para alguien como yo entrar en tu oficina y tomarse un café en tu cocina, hablemos. A veces, la auditoría más reveladora es la que no se hace a través de un cable, sino caminando por tus pasillos. Así que, dicho esto, ya sabes lo que debes hacer, contacta con nosotros ya de ya.

Etiquetas:
  • pretexting
  • ingeniería social
  • tailgating
  • seguridad empresarial
  • ciberseguridad
Categorías:
  • Ciberseguridad
VOLVER