¿Qué son los ataques de tailgating y de piggybacking?

Los atacantes utilizan el tailgating digital —también conocido como piggybacking— para obtener acceso no autorizado al sistema, robar datos, hacer un uso indebido de privilegios o comprometer infraestructuras. El robo de credenciales y el secuestro de sesiones de usuario son técnicas habituales de tailgating digital que utilizan los atacantes para eludir los controles de seguridad y explotar los sistemas.

Los términos "tailgating" y "piggybacking" provienen de técnicas de ingeniería social utilizadas para crear una brecha en ubicaciones físicas. En la actualidad, estas tácticas se utilizan en un contexto digital. Las consecuencias del tailgating digital pueden ser tan graves como las de otros ciberataques comunes, como el malware y las amenazas internas. 

Este artículo explora en profundidad el tailgating digital, así como los sus riesgos que entraña y las estrategias de defensa eficaces que las organizaciones pueden utilizar para mejorar su posición de seguridad.

Descripción del tailgating en el mundo digital moderno

En un ataque físico de tailgating o piggybacking, los ciberdelincuentes aplican el sigilo o la manipulación para acceder a zonas seguras o restringidas. Puede compararse al caso de un empleado con credenciales a quien, al usar su acreditación para entrar en una oficina de acceso restringido, alguien se le cuela detrás antes de que la puerta bloquee.

El tailgating digital aplica el mismo principio al mundo digital. Consiste en que los ciberdelincuentes exploten el acceso de un usuario autorizado para infiltrarse en redes o sistemas informáticos. Entre los métodos habituales que utilizan los atacantes para el piggyback digital se incluyen:

• Secuestro de sesiones 
• Scripts entre sitios (XSS)
• Explotación de dispositivos inteligentes desbloqueados y sin supervisión
• Phishing para obtener credenciales

Cómo funciona el tailgating

Cuando un ciberdelincuente pretende colarse en una red o sistema informático, puede utilizar secuestro de sesión, ingeniería social o los procedimientos de cierre de sesión con fallos del sistema. Estos métodos son efectivos porque explotan el comportamiento humano y las vulnerabilidades del sistema que los equipos de seguridad de TI pueden pasar por alto.

Secuestro de sesiones

El secuestro de sesión (o secuestro de cookies) ocurre cuando los ciberdelincuentes obtienen un ID de sesión de usuario captando el tráfico de red utilizando herramientas como Wireshark o mediante un ataque XSS para obtener la cookie de sesión en el navegador web. Por ejemplo, si te conectas a la red de tu organización usando una red Wi-Fi no cifrada, te expones al tailgating a través de secuestros de sesión.

Ingeniería social

La ingeniería social es otro método empleado por los ciberdelincuentes, que se basa en el engaño y la manipulación, para acceder de forma subrepticia a una red. Por ejemplo, un correo electrónico de phishing que parece provenir del departamento de TI de tu organización en el que se te pide que confirmes tu contraseña para el mantenimiento rutinario de la TI. Si caes en la trampa y revelas tu nombre de usuario y contraseña, el ciberdelincuente puede acceder a la red de tu organización.

Procedimientos de cierre de sesión con fallos

Los procedimientos de cierre de sesión con fallos se producen cuando el mecanismo de cierre de sesión de un sistema no finaliza correctamente la sesión del usuario cuando la cierre o la deje inactiva. Como consecuencia, la sesión del usuario permanece activa incluso cuando no lo está, lo que genera una posible vulnerabilidad que pueden explotar los ciberdelincuentes para efectuar un ataque de tailgating en el sistema.

Por qué la prevalencia del tailgating está aumentando

El auge del trabajo remoto está impulsando un incremento del tailgating digital. Los trabajadores remotos a menudo utilizan dispositivos personales que carecen de controles de seguridad estrictos, deciden no usar autenticación multifactor (MFA) o se conectan a los sistemas de sus organizaciones a través de una red no segura (como Wi-Fi público sin cifrar). Las redes no seguras presentan un nivel particular de riesgo porque los ciberdelincuentes pueden detectar la red usando una herramienta de captura de paquetes (packet sniffing) y potencialmente robar cookies de sesión.

Las prácticas poco seguras de gestión de sesiones también generan oportunidades para ataques de tailgating. Por ejemplo, si los tokens no se rotan ni se invalidan rápidamente en las sesiones basadas en OAuth, pueden permanecer activos en múltiples aplicaciones. De este modo se crea una ventana de oportunidades más amplia para que los ciberdelincuentes intercepten y aprovechen el exploit de tokens sin revocar para obtener acceso no autorizado.

Riesgos relacionados con el tailgating digital

Una vez que un ciberdelincuente vulnera con éxito una de estas superficies de ataque, puede operar con sigilo porque ha adoptado la identidad de un usuario legítimo. Esta acción genera riesgos empresariales como los siguientes: 

• Compromiso de datos: los responsables del tailgating pueden robar datos confidenciales, como la información de identificación personal (PII) del objetivo o la propiedad intelectual corporativa (IP). 
• Movimiento lateral: una vez que los atacantes vulneran el perímetro, pueden adentrarse más en la red de la organización.
• Instalación de malware: a medida que un atacante de tailgating accede a los sistemas, puede instalar puertas traseras, ransomware y otros tipos de malware.

Estos ataques pueden tener consecuencias graves para las organizaciones, como pérdidas financieras, desventajas competitivas por el robo de propiedad intelectual y sanciones por incumplimiento de normativas.

Prevención del tailgating en entornos digitales

Abordar los factores comunes que facilitan el tailgating puede reducir significativamente las probabilidades de éxito de un ataque. Las organizaciones pueden implementar diversas técnicas para mitigar el riesgo de tailgating digital. 

Uso de la MFA para disuadir de accesos no autorizados

Con la autenticación MFA, las organizaciones pueden reforzar la seguridad de acceso exigiendo a los usuarios que verifiquen su identidad utilizando múltiples factores. La autenticación MFA suele implicar la combinación de la contraseña del usuario y al menos otro factor, como el código procedente de una aplicación de autenticación o datos biométricos. El uso de más factores de autenticación dificulta que los atacantes por tailgating puedan vulnerar un sistema solo con una contraseña comprometida.

Políticas estrictas de gestión de sesiones

El tiempo de espera de sesión y el cierre de sesión automático son unas prácticas recomendadas fundamentales para la gestión de sesiones. Implementar ambas ayuda a reducir el riesgo de que los ciberdelincuentes comprometan las sesiones activas. 

• El tiempo de espera de sesión finaliza automáticamente las sesiones e invalida los tokens tras un periodo de inactividad, y requiere que el usuario se vuelva a autenticar para continuar usando el sistema.
• El cierre automático de sesión es similar, ya que el usuario se desconecta automáticamente tras un periodo de inactividad. 

Concienciación y formación de los usuarios sobre riesgos de seguridad

Cuando los usuarios conocen los riesgos del tailgating digital y las prácticas de seguridad para reducirlos, son más conscientes de la seguridad. La formación debe hacer hincapié en la importancia de bloquear los dispositivos cuando se dejan sin supervisión y en los riesgos de no hacerlo. Además, los usuarios deben saber cómo identificar los intentos de phishing, y pueden aprenderlo mediante simulaciones organizadas de phishing y formación.

Monitorización de dispositivos y redes

Después de que un atacante mediante tailgating comprometa una sesión, acabará por mostrar comportamientos anormales que no tendría un usuario legítimo. Con una monitorización adecuada de los dispositivos y la red, las organizaciones pueden detectar este comportamiento y actuar de inmediato. Por ejemplo, si un ciberdelincuente obtiene acceso a una cuenta de usuario desde una dirección IP inesperada, las herramientas de monitorización de red pueden señalar la ubicación inusual.

Cómo ayuda CrowdStrike a mitigar los riesgos del tailgating digital

Entender en qué consiste el tailgating digital puede ayudar a que tu organización vaya un paso por delante de los ciberdelincuentes, lo que reduce el riesgo de inactividad, daños en la reputación y multas por incumplimiento. Dada la complejidad de mitigar los riesgos de tailgating, muchas organizaciones recurren a soluciones de nivel empresarial diseñadas para proteger contra estos ataques.

CrowdStrike Falcon® Adversary Intelligence realiza investigaciones de incidentes analizando actividades maliciosas y mejorando la detección con inteligencia sobre amenazas. Sus características incluyen un avanzado sandbox de malware y reducción de superficies de ataque.

CrowdStrike Falcon® Identify Protection detecta y previene los ataques basados en la identidad en tiempo real. Ofrece autoclasificación de todas las cuentas, verificación de identidad sin fricciones con directivas flexibles y una posición de seguridad mejorada con autenticación multifactor, entre otras características.

Explora las soluciones de CrowdStrike para una defensa proactiva frente a amenazas de tailgating. Comienza hoy tu prueba gratuita de la plataforma CrowdStrike Falcon® y mantente un paso por delante de los ciberdelincuentes.¹

^{1 Sujeto a términos y condiciones.}