Masquerading

El ataque denominado de masquerading o mascarada consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno; esta suplantación puede realizarse electrónicamente - un usuario utiliza para acceder a una máquina un login y password que no le pertenecen - o en persona. En este punto hablaremos brevemente de este último caso, la suplantación en persona, un ataque relativo tanto a la seguridad física del entorno de operaciones como a la seguridad del personal.

La mascarada no es un ataque habitual en entornos normales; en estos, o bien existen áreas de acceso semipúblico, donde un atacante no tiene que hacer nada especial para conseguir acceso - y por tanto no cabe hablar de masquerading - o bien áreas de acceso restringido pero controlado por el propio personal de la organización, como despachos o laboratorios. En este caso un ataque vía mascarada no suele ser efectivo, ya que es muy fácil detectar al intruso (otro tema sería si realmente se toma alguna medida al detectarlo o simplemente se le deja seguir, ahí ya entraría en juego la formación de los usuarios) por tratarse de áreas dentro de las cuales todo el personal `habitual' se conoce. El masquerading es más habitual en entornos donde existen controles de acceso físico, y donde un intruso puede `engañar' al dispositivo - o persona - que realiza el control, por ejemplo con una tarjeta de identificación robada que un lector acepta o con un carné falsificado que un guardia de seguridad da por bueno.

Una variante del masquerading lo constituye el ataque denominado piggybacking, que consiste simplemente en seguir a un usuario autorizado hasta un área restringida y acceder a la misma gracias a la autorización otorgada a dicho usuario. Contra esto se deben aplicar las mismas medidas que contra la mascarada física: controles de acceso estrictos, y convenientemente verificados. Los ejemplos de piggybacking son muy habituales: desde un atacante que se viste con un mono de trabajo y que carga con un pesado equipo informático en la puerta de una sala de operaciones, para que justo cuando un usuario autorizado llegue le abra dicha puerta y le permita el acceso por delante del guardia de seguridad, hasta la clásica anécdota que todos los auditores explican como suya, sobre el reconocedor de tarjetas inteligentes que abre la puerta de una sala pero que una vez abierta no se preocupa en contar cuantas personas la atraviesan, podríamos estar durante días dando ejemplos de ataques exitosos utilizando la técnica del piggybacking.
© 2002 Antonio Villalón Huerta