1 205 Table of Contents 207 244

Seguritecnia 505

/ Enero-Febrero 2024 198 Opinión física no solo refuerza la postura gene- ral de seguridad de una organización, sino que también prepara a los emplea- dos para pensar de forma crítica y res- ponder eficazmente a los intentos, tanto sutiles como manifiestos, de acceso no autorizado. Ejemplo práctico Supongamos que hay una empresa líder en el sector de la biotecnología, “BioTe- chSoluciones”, que guarda sus investi- gaciones y desarrollos en sus laborato- rios seguros. Los atacantes, interesados en obtener información sobre sus paten- tes, deciden que el mejor camino para acceder a ella es a través de uno de los gerentes de proyecto de la empresa, Elena, quien tiene acceso completo a los laboratorios y a la base de datos de investigación. Los atacantes investigan a Elena a través de las redes sociales y descu- bren que su afición es correr y partici- par regularmente en carreras locales. Utilizando esta información, idean un plan para acercarse a ella de manera no sospechosa. Uno de los atacantes se inscribe en una próxima carrera en la que Elena ha mostrado interés en participar, según su perfil de redes sociales. Durante el even- to, el atacante se asegura de iniciar una conversación casual con Elena, fingien- do compartir intereses similares en el running y la biotecnología, pero sin reve- lar su verdadera identidad o intenciones. Después de la carrera, el atacante continúa construyendo una relación con Elena a través de las redes sociales y encuentros casuales, siempre mante- niendo la fachada de un colega de la industria interesado en compartir cono- cimientos y experiencias en el campo de la biotecnología. Una vez establecida la confianza, el atacante sugiere a Elena la idea de visi- aprovecha de las normas sociales y de la cortesía, ya que las personas se inclinan de forma natural a sujetar las puertas a los que vienen detrás, especialmente si el intruso parece pertenecer al grupo o lleva un aura de autoridad (Nohl y Evans, 2008). Del mismo modo, en la clona- ción de credenciales se aprovecha de la tendencia humana a confiar en caras conocidas o en personas que tienen credenciales de acceso aparentemente legítimas (Thompson, 2004). Otra táctica es el pretexting en el ám- bito físico, donde los atacantes crean escenarios elaborados para justificar su presencia o necesidad de acceso en un área segura. Estos escenarios pueden ser tan simples como hacerse pasar por personal de mantenimiento con una ra- zón plausible para necesitar la entrada, aprovechando la propensión humana a ayudar a los demás y evitar la confronta- ción (Mitnick & Simon, 2002). La estrategia de rebuscar en los conte- nedores de basura ejemplifica aún más el aspecto físico de la ingeniería social, en la que los atacantes rebuscan en la basura de una empresa para encontrar información sensible. Este método apro- vecha el descuido de la organización a la hora de deshacerse de la información confidencial de forma adecuada, lo que subraya la necesidad de adoptar medidas de seguridad física incluso en tareas apa- rentemente mundanas (Rogers, 2006). Para mitigar estas amenazas, inte- grar conocimientos psicológicos en los programas de formación del personal será fundamental, tales como el reco- nocimiento de las tácticas de ingeniería social, la comprensión de los principios psicológicos que las sustentan y la ac- tuación con decisión y escepticismo cuando se enfrenten a solicitudes o si- tuaciones inusuales (Schneier, 2003). La incorporación de los principios psi- cológicos a las medidas de seguridad (como descargas gratuitas de software) a cambio de credenciales de acceso u otros datos sensibles. Estos ataques ex- plotan la curiosidad y la codicia huma- na, lo que demuestra la importancia de la conciencia psicológica para recono- cer y resistirse a tales ardides (Stajano & Wilson, 2011). Para combatir la ingeniería social, es imperativo poner en práctica una forma- ción integral de concienciación sobre la seguridad que vaya más allá de la sim- ple memorización de protocolos. Dicha formación debe incluir conocimientos psicológicos sobre por qué la gente cae en los ataques de ingeniería social y cómo reconocer los signos de manipula- ción. También es crucial desarrollar una cultura consciente de la seguridad den- tro de las organizaciones, en la que los individuos se sientan con el poder y los conocimientos suficientes para cuestio- nar las solicitudes sospechosas (Winkler & Dealy, 2016). Impacto en seguridad física La intersección de la psicología y la seguridad física es un testimonio de la complejidad de proteger las instalacio- nes corporativas y la información sensi- ble de accesos no autorizados. Las tác- ticas de la ingeniería social, arraigadas profundamente en la manipulación psi- cológica, no se limitan al ámbito digital, sino que también se manifiestan de for- ma significativa en las violaciones de la seguridad física. Hablaríamos del fenó- meno de explotar la naturaleza humana −nuestras tendencias a confiar, a evitar conflictos y a adherirnos a las normas sociales− para obtener acceso físico a entornos seguros (Stasiukonis, 2006). El tailgating , por ejemplo, es una in- fracción común de la seguridad física en la que una persona no autorizada sigue a otra autorizada hasta una zona restrin- gida sin ser advertida. Este método se

RkJQdWJsaXNoZXIy MTI4MzQz