El ataque denominado de masquerading o mascarada consiste simplemente en
suplantar la identidad de cierto usuario autorizado de un sistema informático
o su entorno; esta suplantación puede realizarse electrónicamente - un
usuario utiliza para acceder a una máquina un login y password
que no le pertenecen - o en persona. En este punto hablaremos brevemente de
este último caso, la suplantación en persona, un ataque relativo tanto a
la seguridad física del entorno de operaciones como a la seguridad del
personal.
La mascarada no es un ataque habitual en entornos normales; en estos, o bien
existen áreas de acceso semipúblico, donde un atacante no tiene que hacer
nada especial para conseguir acceso - y por tanto no cabe hablar de masquerading - o bien áreas de acceso restringido pero controlado por el
propio personal de la organización, como despachos o laboratorios. En este
caso un ataque vía mascarada no suele ser efectivo, ya que es muy fácil
detectar al intruso (otro tema sería si realmente se toma alguna medida al
detectarlo o simplemente se le deja seguir, ahí ya entraría en
juego la formación de los usuarios) por tratarse de áreas dentro de las
cuales todo el personal `habitual' se conoce. El masquerading es más
habitual en entornos donde existen controles de acceso físico, y donde
un intruso puede `engañar' al dispositivo - o persona - que realiza el
control, por ejemplo con una tarjeta de identificación robada que un lector
acepta o con un carné falsificado que un guardia de seguridad da por bueno.
Una variante del masquerading lo constituye el ataque denominado piggybacking, que consiste simplemente en seguir a un usuario autorizado hasta
un área restringida y acceder a la misma gracias a la autorización otorgada
a dicho usuario. Contra esto se deben aplicar las mismas medidas que contra
la mascarada física: controles de acceso estrictos, y convenientemente
verificados. Los ejemplos de piggybacking son muy habituales: desde un
atacante que se viste con un mono de trabajo y que carga con un pesado equipo
informático en la puerta de una sala de operaciones, para que justo cuando
un usuario autorizado llegue le abra dicha puerta y le permita el acceso por
delante del guardia de seguridad, hasta la clásica anécdota que todos los
auditores explican como suya, sobre el reconocedor de tarjetas inteligentes que
abre la puerta de una sala pero que una vez abierta no se preocupa en contar
cuantas personas la atraviesan, podríamos estar durante días dando
ejemplos de ataques exitosos utilizando la técnica del piggybacking.
© 2002 Antonio Villalón Huerta
