En ciberseguridad solemos pensar primero en defender el mundo digital a través de medidas tecnológicas como firewalls, antivirus, sistemas de detección de intrusiones, cifrado de datos o complejas políticas de acceso. Las empresas destinan grandes presupuestos a blindar sus redes y proteger su información y propiedad intelectual con la última tecnología.
Esto es fundamental, pero hay otra parte de la seguridad a la que debemos prestar igual atención, la seguridad física. Esa que ocurre en el mundo real, con cámaras de vigilancia, torniquetes, cerraduras inteligentes, lectores biométricos o guardias de seguridad.
Porque de poco sirve tener el sistema digital más avanzado del mundo si cualquiera puede colarse en el centro de datos y manipular directamente los servidores.
Ahí es donde entra en juego la ingeniería social física: técnicas en las que el atacante no usa software para romper contraseñas, sino su ingenio, la confianza y las distracciones humanas para entrar en lugares donde no debería.
A continuación te muestro las más comunes —y cómo protegerte— con ejemplos fáciles de reconocer:
Tailgating: "el que se cuela en la fiesta"
Un atacante espera que abras la puerta con tu tarjeta y se mete detrás de ti, como quien entra en un concierto pegado al grupo de amigos o quién entra en el metro detrás tuya sin validar su billete.
La principal defensa contra esta técnica son los torniquetes, las puertas de un solo acceso (mantraps) y sistemas que permitan pasar solo de uno en uno. Debemos también evitar sostener la puerta a desconocidos, aunque parezca un gesto de cortesía.
Piggybacking: "¿me abres que olvidé mi tarjeta?"
En esta técnica, el intruso no fuerza la entrada ni se esconde, simplemente te pide ayuda para entrar:
- “Soy de mantenimiento, me olvidé la tarjeta”.
- “Vengo cargado con cajas, ¿me ayudas a pasar?”
La víctima, por cortesía, confianza o distracción, le abre la puerta.
La mejor forma de prevenir este método es:
- Verificación de identidad antes de permitir el acceso.
- Supervisión de visitantes en todo momento.
- Concienciación de empleados para que sepan que la amabilidad no debe superar la seguridad.
Shoulder surfing: "el mirón del examen"
Seguramente, durante algún examen a lo largo de tu vida, te ha pasado que algún compañero intentaba mirar de reojo tu hoja para ver tus respuestas. Quizás, alguna vez, alguien en el tren ha intentado ojear tu pantalla del móvil para leer los WhatsApps de tu tía Paca la del pueblo.
Pues bien, esta técnica es igualita. Solo que ahora el atacante observa tu teclado o tu pantalla para robar contraseñas o información sensible.
¿Cómo nos defendemos? A través de filtros de privacidad para la pantalla, tapando el teclado al teclear (al igual que al introducir el PIN en el cajero), y nunca dejando el dispositivo desbloqueado cuando no estamos presentes.
Dumpster diving: "el cazador de tesoros en la basura"
Esta técnica consiste en que el atacante rebusque literalmente en la basura con el objetivo de encontrar información valiosa, como contraseñas, contratos, correos impresos, datos personales, informes médicos, y un largo etcétera. Puede parecer una técnica rudimentaria, pero es efectiva.
Para defenderte, lo mejor es destruir toda aquella información importante antes de tirarla a la basura, como por ejemplo, usar una trituradora. Es importante también contar con políticas claras sobre el manejo de los datos impresos.
Impersonation: "el actor con buen disfraz"
El clásico: hacerse pasar por técnico de internet, repartidor o inspector. Con uniforme y una buena historia, puede ser muy convincente.
Lo mejor que puedes hacer en estos casos es verificar las credenciales y llamar a la empresa para confirmar que había una visita programada. Confiar en la intuición: si algo no encaja, probablemente sea porque no es legítimo.
El USB perdido
Un atacante deja USBs infectados en lugares visibles, confiando en la curiosidad humana. Alguien lo conecta a su ordenador y, sin saberlo, abre la puerta a los atacantes.
La concienciación vuelve a ser fundamental para prevenir este tipo de ataques. Como norma general, no conectes dispositivos desconocidos. Configura también políticas de seguridad que impidan la ejecución automática de medios extraíbles.
Eavesdropping: “el curioso del café”
En cafeterías, ascensores, taxis o salas de espera, los atacantes escuchan conversaciones sensibles. A veces, basta con una frase mal dicha en un lugar público para comprometer información.
Lo mejor que puedes hacer es reservar las conversaciones confidenciales para entornos seguros. Evita comentar contraseñas, proyectos, contratos o datos críticos en lugares abiertos.
Conclusión
Los ataques de ingeniería social física nos recuerdan que la seguridad no es solo cuestión de sistemas avanzados: también depende de las personas. Un gesto cotidiano como sostener una puerta, dejar papeles en la basura o hablar de más en un lugar público puede convertirse en la grieta por la que entra un atacante.
Por eso, la mejor inversión en seguridad no siempre es la más tecnológica, sino la más humana: formación, conciencia y cultura de seguridad en todos los niveles de la organización.
Top comments (0)