¿Traes invitación? Sí, corbata y decisión…

No es que sea un fan de Jimmy Jump, pero en esta entrada quiero comentar algunas experiencias personales relacionadas con saltarse controles de acceso. Para evitar dañar la marca/imagen de algunos de los actores que aparecen en el post, voy a evitar incluir nombres de las compañías involucradas en estas historias.

Buenos días, tengo una reunión con nombre_del_jefe

El contexto de esta historia es el siguiente: en el desarrollo de un proyecto comprobamos que los controles de acceso del cliente no eran todo lo estrictos que debían ser, lo comunicamos al personal responsable del control de acceso y ésto dio pie a que pudiéramos hacer pruebas para ver si conseguíamos evitar las medidas de seguridad. Las distintas pruebas se realizaron durante un periodo que duró aproximadamente tres meses.

El cliente había definido y documentado un procedimiento que establecía los pasos a seguir para permitir o denegar el acceso a un visitante. Sin entrar en detalles, el procedimiento marcaba cinco pasos:

    1.Pedir el DNI y comprobar que la persona es quien dice ser.
    2. Comprobar que el visitante está en la lista de citaciones y registrar el acceso.
    3. Comunicar a quien corresponda que el/los visitantes han llegado.
    4. Entregar al interesado un clip para llevar en la solapa el ticket de visita.
    5. Una vez haya finalizado la visita, se registra su salida y se recoge el clip.

En caso de que el visitante no se encuentre en la lista de citaciones, se procede a contactar con la persona a quien venía a visitar y si está disponible, se le pide que acuda a recepción para recoger al visitante. Como es de suponer, si se detecta que el visitante pretende suplantar la identidad de otra persona se impide su acceso.

A la hora de realizar las pruebas no seguimos ningún método concreto; cada vez que nos reuníamos en las instalaciones del cliente tratábamos de acceder con una pauta de comportamiento distinta. Los resultados quedan resumidos en la tabla que presento a continuación:

Prueba Resultado
Nos dirigimos al acceso andando rápido y simulando que estamos hablando por teléfono. Pasamos el control. No nos toman datos. No nos preguntan por nuestro destino.
Nos aproximamos al control simulando estar despistados y mostrando inseguridad. Procuramos que parezca que no tenemos la certeza de saber dónde estamos. Registro adecuado.
Nos dirigimos al control y comunicamos que tenemos una reunión con el “jefe” (indicamos el nombre de su superior). Pasamos el control. No nos toman datos.
Nos dirigimos al control y comunicamos que tenemos una reunión de “comité de dirección”. Pasamos el control. No nos toman datos.
Nos dirigimos al control y comunicamos que somos los “auditores”. Registro adecuado.
Nos dirigimos tranquilamente al acceso y saludamos. 50% Pasamos el control sin que nos tomen datos.

25% Pasamos el control y únicamente se nos pregunta a dónde nos dirigíamos (respuesta: tenemos una reunión con el departamento “DDD”).

25% Se realiza un registro adecuado.

En el caso particular que comentamos existía un evidente problema de implantación. El procedimiento podría ser más o menos adecuado pero lo que estaba claro es que no se actuaba siguiendo las indicaciones del mismo. Indagando un poco más en la causa del problema, descubrimos que recientemente había tenido lugar una reestructuración de las áreas con el consiguiente cambio de responsabilidades. Tuvimos la oportunidad de hablar con algunos de los empleados que estaban en el control de acceso. Éstos son algunos de los comentarios que nos trasladaron: “No pasa nada, él es como si fuera de la casa”. “Sí sí, sabemos quién es, viene mucho por aquí”, “no lo paramos siempre porque lo conocemos”, etc.

Posteriormente, comunicamos a los responsables los resultados de nuestras pruebas y, entre otras iniciativas de mejora, se llevaron a cabo unas sesiones formativas específicas para solventar el problema. Algo positivo, creemos :)

En busca de la máquina de café

Esta anécdota no viene acompañada de ningún estudio pero como la viví recientemente he decidido comentarla. Un compañero y yo estábamos una sala de espera en las instalaciones del cliente. El inicio de la reunión se había retrasado. En vistas a que la espera iba a ser larga me dispongo a buscar una máquina de café, máquina de vending o similar. El caso es que al final del pasillo me encuentro con una puerta de cristal opaco con un sensor central que parecía no funcionar. Justamente en ese momento la puerta se abre y sale un caballero. Yo, que todavía estaba intentando colocarme en la posición adecuada para que me detectara el sensor, cruzo la puerta que se cierra inmediatamente a mis espaldas. Sin darle más importancia pienso “claramente este sensor va mal” y continúo en busca de la máquina de café… No hace falta que siga, ¿verdad?

Tras mi búsqueda infructuosa vuelvo a la sala de recepción y encuentro a mi compañero que, entre risas, me dice “casi te guillotina la puerta, ¿no has visto el cartel de acceso restringido?”… pues no, la verdad es que no lo vi. Sin quererlo ni beberlo me había colado “hasta la cocina”.

Estos pueden parecer casos aislados pero seguro que a todos recordamos alguna situación en la que hemos vivido algo parecido. No hace falta ser un experto en ingeniería social para poder detectar (o descubrir accidentalmente) fallos en la seguridad (física, en este caso). En la mayor parte de los casos creo que el problema está en que somos confiados: sin ir más lejos, he de reconocer que habitualmente mantengo la puerta abierta cuando veo que alguien trata de acceder a mi portal procurando tener un gesto educado y, sinceramente, en algunas ocasiones no sé si esa persona es o no mi vecino.

No puedo terminar esta entrada sin recordar que los responsables del control de acceso al que hago mención en la primera anécdota estaban al tanto de la realización de las pruebas. Nunca hemos tenido otra intención más que probar la efectividad de dicho control. En lo que respecta al segundo caso… sólo buscaba un café ;)

Comments

  1. Hola Miguel Ángel,

    acabo de leer el artículo «¿Estás a salvo de Piggybackers?» que enlazas en tu blog. Me parece muy interesante. Es cierto que la tecnología avanza muy rápidamente y que los controles biométricos son cada vez más fiables. Es posible que con estos controles se consiga reducir notablemente los accesos no autorizados debidos a fallos producidos por «ser confiados» o por no seguir los procedimientos. No obstante, por ahora creo que no debemos «matar moscas a cañonazos» (y digo esto sin saber exactamente cuánto puede costar un sistema como el que detecta la hemoglobina desoxidizada en la sangre). Creo que en la mayor parte de los casos, un torno giratorio junto con un agente será suficiente.

    Un saludo y gracias por la aportación.

    Samuel

Trackbacks

  1. […] poco que leía un estupendo post de Samuel Segarra en Security Art Work titulado “¿Traes invitación? Sí, corbata y decisión…” que me hacía pensar en algo que resulta muy necesario hoy día, los test de intrusión […]