Fundamentos de seguridad física - Del shoulder surfing a los ataques USB

Lectura de 12 min aprox.

Las discusiones sobre ciberseguridad tienden a centrarse en vulnerabilidades de software y ataques de red, pero las brechas de seguridad física siguen siendo uno de los vectores de ataque más efectivos y subestimados. El Informe de Investigaciones de Brechas de Datos 2023 de Verizon encontró que las acciones físicas estuvieron involucradas en el 9% de todas las brechas, y las pruebas del equipo rojo del Departamento de Seguridad Nacional de EE.UU. muestran una tasa de éxito del 90% para intrusiones físicas basadas en ingeniería social. Desde el shoulder surfing en cafeterías hasta unidades USB armadas esparcidas en estacionamientos, los atacantes explotan la brecha entre las defensas digitales y la realidad física. Este artículo examina los mecanismos de las amenazas de seguridad física y proporciona contramedidas prácticas.

La realidad del shoulder surfing

Técnicas de espionaje visual y estadísticas

El shoulder surfing es la técnica de robar credenciales observando la pantalla o el teclado de alguien desde atrás o al lado. Parece de baja tecnología, pero su efectividad es significativa. Un estudio de la Universidad de Múnich de 2022 informó que el 73% de los sujetos no verificaron su entorno al ingresar PINs de smartphone en público, y los observadores entrenados pudieron leer con precisión el 64% de los PINs de 6 dígitos en una sola observación. Mientras que el robo de PIN en cajeros automáticos es una técnica clásica, los objetivos modernos incluyen la entrada de contraseñas en cafeterías y espacios de coworking.

Ataques visuales en evolución

El shoulder surfing moderno va más allá del ojo desnudo. Las técnicas incluyen fotografiar pantallas desde decenas de metros con teleobjetivos, y ver indirectamente a través de superficies reflectantes como ventanas, gafas de sol y pantallas de smartphones. En 2023, un equipo de investigación israelí publicó una técnica para estimar pulsaciones de teclas a partir de patrones de reflexión de señales Wi-Fi. Aunque la precisión es limitada, representa una nueva amenaza que no requiere línea de visión física. Como contramedida, los filtros de privacidad son los más inmediatamente efectivos. La investigación de 3M informa que los filtros de privacidad pueden reducir el riesgo de espionaje visual en un 96%.

Ataques de USB drop y dispositivos maliciosos

Por qué la gente conecta USBs encontrados

Un ataque de USB drop consiste en dejar deliberadamente unidades USB cargadas con malware en estacionamientos o vestíbulos de oficinas, esperando que alguien las conecte a una computadora. Un experimento de la Universidad de Illinois en 2016 esparció 297 unidades USB por el campus, y el 48% fueron realmente conectadas a computadoras. El primer USB fue conectado en solo 6 minutos. La curiosidad humana y la buena voluntad de querer devolverlo a su dueño son los factores psicológicos que hacen exitoso este ataque.

BadUSB y Rubber Ducky

Más peligrosos que los USBs con malware simple son los ataques a nivel de firmware llamados BadUSB. Al reescribir el firmware del dispositivo USB para que sea reconocido como teclado o adaptador de red, elude los mecanismos de seguridad del SO. El USB Rubber Ducky de Hak5 es una herramienta de pruebas de penetración que usa este principio, capaz de auto-ejecutar scripts en segundos tras la inserción. En 2024, cuesta unos $80, haciendo el costo extremadamente bajo para atacantes. Como contramedida, restringir clases de dispositivos USB mediante Directivas de Grupo de Windows o perfiles de macOS para bloquear conexiones no autorizadas es efectivo.

Tailgating e intrusión física

La psicología del piggybacking

El tailgating (piggybacking) es la técnica de pasar por una puerta justo detrás de una persona autorizada para entrar ilegalmente a un edificio. La cortesía cotidiana de sostener la puerta se convierte en un agujero de seguridad. Una encuesta del Ponemon Institute encontró que el 71% de los empleados reportaron sostener la puerta para desconocidos. Los atacantes crean situaciones donde las puertas se abren naturalmente para ellos llevando objetos en ambas manos o fingiendo estar en una llamada telefónica. La realidad es que llevar una caja grande de cartón y decir "entrega" hará que la mayoría abra la puerta sin sospechar.

Escenarios de daño tras intrusión física

Un atacante que ha entrado en un edificio puede realizar una amplia gama de acciones: robar información de computadoras desatendidas, instalar dispositivos de escucha en puertos de red, acceder físicamente a salas de servidores y fotografiar documentos y pizarras. La investigación de la brecha de datos de Equifax en 2019 identificó controles de acceso físico inadecuados como un factor en la expansión de la brecha. Particularmente peligrosa es la instalación de dispositivos pequeños (del tamaño de una Raspberry Pi) que se conectan directamente a la red, permitiendo acceso remoto persistente durante meses.

Bloqueo de pantalla y política de escritorio limpio

La regla de los 5 segundos al dejar el escritorio

El bloqueo de pantalla es la medida de seguridad física más básica y efectiva. En Windows, Win+L, y en macOS, Ctrl+Command+Q bloquea instantáneamente. SANS Institute recomienda configurar el tiempo de auto-bloqueo en menos de 5 minutos, pero idealmente debe desarrollar el hábito de bloquear manualmente al dejar el escritorio. La complacencia de "solo voy al baño" o "solo voy por café" se convierte en el punto de entrada para fugas de datos. Los casos de información confidencial tomada de computadoras desbloqueadas aparecen repetidamente en informes de investigación de amenazas internas.

Fugas de información prevenidas por escritorio limpio

Una política de escritorio limpio es una regla para retirar documentos confidenciales y medios de almacenamiento del escritorio al salir o al final del día. Es un control de seguridad básico recomendado por ISO 27001, pero las tasas de cumplimiento siguen siendo bajas. Una encuesta de PwC encontró que el 58% de los empleados reportaron dejar documentos confidenciales en sus escritorios. Las fuentes de información física existen en todas partes: contraseñas en notas adhesivas, correos impresos, materiales de reuniones y pizarras con contraseñas Wi-Fi para visitantes.

Seguridad física de dispositivos móviles

El robo y pérdida de smartphones y laptops son los incidentes más frecuentes en seguridad física. Según el informe de Kensington de 2023, aproximadamente 700,000 laptops se pierden o roban en aeropuertos solo en EE.UU. cada año. Habilitar el cifrado del dispositivo (BitLocker, FileVault) dificulta el acceso a datos incluso si es robado. Siempre configure capacidades de borrado remoto (Find My iPhone, Find My Device). Use candados Kensington para laptops y desarrolle el hábito de asegurarlos físicamente incluso durante ausencias temporales.

Para seguridad en viajes, consulte también ciberseguridad en viajes. Para aprender sistemáticamente sobre medidas de seguridad física, guías de seguridad física (Amazon) son útiles.

Estrategia de seguridad física organizacional

Diseño de defensa en profundidad

La seguridad física también debe seguir el principio de defensa en profundidad. Los niveles de seguridad aumentan progresivamente: perímetro del edificio (cercas, cámaras), entrada (recepción, credenciales), piso (autenticación con tarjeta IC) y sala de servidores (autenticación biométrica, regla de dos personas). El diseño debe asegurar que incluso si una capa es vulnerada, la siguiente detiene la intrusión. Los centros de datos de Google implementan 6 capas de seguridad física, requiriendo múltiples autenticaciones incluyendo escaneo de iris.

Actúa ahora

1. Configure el auto-bloqueo en menos de 5 minutos y desarrolle el hábito de bloquear manualmente (Win+L / Ctrl+Cmd+Q) al dejar el escritorio
2. Habilite el cifrado del dispositivo y el borrado remoto en su smartphone y laptop
3. Nunca conecte unidades USB desconocidas a su computadora. Si encuentra una, entréguela al departamento de TI
4. Establezca contraseñas fuertes únicas para cada servicio con Passtsuku.com para prevenir la escalada de daños por reutilización de contraseñas incluso si un dispositivo es robado

Preguntas frecuentes

¿Cuál es la forma más efectiva de prevenir el shoulder surfing?

Los filtros de privacidad son los más inmediatamente efectivos. La investigación de 3M reporta una reducción del 96% en el riesgo de espionaje visual. Además, verifique su entorno al ingresar contraseñas en público y priorice métodos de autenticación como biometría o passkeys que son seguros incluso si son observados.

¿Qué debo hacer con una unidad USB encontrada?

Nunca la conecte a su computadora. Podría ser un ataque de USB drop. Si la encuentra en el trabajo, entréguela a TI o seguridad. Si la encuentra en público, entréguela a la administración del lugar o déjela.

¿Qué es más importante, la seguridad física o la ciberseguridad?

Ambas son esenciales. No importa cuán fuertes sean sus firewalls o contraseñas, no tienen sentido si un atacante puede acceder físicamente a sus servidores. A la inversa, un entorno físicamente seguro es impotente contra ataques de red. Es importante construir seguridad desde ambas perspectivas usando un enfoque de defensa en profundidad.