La seguridad perimetral física es diferente de instalación en instalación, con una miríada de factores que influyen en todo aquello que se realiza, implementa y actualiza, incluyendo el presupuesto y los activos que están siendo protegidos.
Pero, ¿qué hay de la ubicación geográfica y, por tanto, la cultura?
Definitivamente, no es uno de los aspectos más obvios que la gente considera cuando examina la seguridad, pero tiene más protagonismo del que uno piensa. La seguridad perimetral varia de país a país, y las culturas han demostrado ser tanto beneficiosas como perjudiciales.
En general, existe una mayor cultura de la seguridad fuera de Estados Unidos y la mayoría de negocios están equipados con medidas más rigurosas de las que se ve en Estados Unidos, señala Eric Milam, director administrativo de Accuvant.
“La mayoría de empresas en Estados Unidos parecen estar a la zaga del resto del mundo”, afirma. “La protección contra seguimientos, balas de goma, trampas para hombres… encontramos mucho más de eso en Europa”.
Bill Besse, vicepresidente de consultoría e investigaciones en Andrews International LLC, filial de U.S. Associates, que también ha pasado un tiempo en el extranjero, señala que las medidas de seguridad más intensas no se encuentran solo en los países europeos que optan voluntariamente por implementarlas; sin embargo, coincide en que muchas instituciones financieras de ahí tienen niveles de seguridad más altos que los de Estados Unidos. También hay países que en realidad no tienen opción.
“Creo que hay algunas diferencias culturales en lugares donde han experimentado graves incidentes terroristas”, afirma Besse. “La escena nacional juega un rol muy importante en la seguridad perimetral y en la cultura, y mucho de eso ha sido impulsado y dirigido por lo que les ha pasado”.
Besse, que pasó tiempo en Estambul, Turquía, recuerda esto ya que debido a las actividades extremistas -como los atentados con bombas- todos los edificios de interés se encontraban equipados con detectores de metales, sistemas de revisión de paquetes y equipaje, y tecnología de rayos X. Todos los que entraban eran sujetos de inspección, pero a la gente simplemente no le importaba porque era parte de la cultura, parte de vivir en un área de constante lucha con los peligros.
“La gente acepta esas inspecciones como algo estándar y normal”, sostiene Besse. “Las distancias de revisión han aumentado, las barreras retráctiles antivehículos en las avenidas cerca de hoteles y edificios estatales, se ha llegado a aceptar con el pasar de los años”.
Besse también reflexionó sobre todo el tiempo que pasó en India y en Israel, donde dice que encontró una situación similar. Después de los ataques terroristas en el 2008 en Mumbai, el país incrementó la seguridad con unidades caninas, guardias armados y detectores de metales en lugares comerciales y hoteles. En Israel, la detección de vehículos en los perímetros de los centros comerciales y otras áreas importantes, es algo común.
“Culturalmente, es una manera aceptable de realizar negocios en Israel”, anota Besse. “Es un gran cambio cultural si es que viene de Estados Unidos o algunas otras partes del mundo. Normalmente son protocolos diarios en lugares como Israel, donde la gente siente que la seguridad tiene que llevarse a cabo a la perfección y de cierta manera”.
Pero a pesar de toda la rigurosa seguridad perimetral que se puede encontrar en el extranjero, Milam encontró que la ingeniería social ha demostrado ser una manera efectiva de burlar todas esas medidas, y las diferencias culturales son normalmente un factor en el éxito de su equipo. Reflexionó sobre el momento en el que una compañía Americana le pidió a él y a su equipo de Accuvant que ingresen a sus almacenes en Japón, y lo fácil que fue para ellos hacerlo.
“Básicamente usamos dos chicos estadounidenses que no hablan nada del idioma”, indica Milam. “Pero una vez que llegamos a Japón, encontramos que a ellos les han enseñado a ser respetuosos, a ayudar y no siempre cuestionar a la gente. Ellos van a querer ayudarnos en lugar de preguntarnos directamente, ‘¿Qué están haciendo aquí?’”
Milam siguió y explicó que, como con cualquier prueba física de seguridad, él y su equipo realizaron una investigación y preparación previa. Pero en este caso en particular, él y su compañero la tuvieron fácil: fueron capaces de encontrar en línea imágenes de los empleados y la insignia del contratista. Así que después de imprimir las tarjetas de identidad falsas, Milam se fue hasta Japón con una carta falsa diciendo que venía de una compañía estadounidense para que lo dejaran entrar a las instalaciones.
“Hicimos el papel de los estadounidenses tontos mientras estuvimos ahí”, sostiene. “Nos llevaban a todos lados en los carros del hotel, bajábamos de un Mercedes en el edificio que era nuestro objetivo y nadie nos decía nada, simplemente nos dejaban entrar. Nos tomamos fotos abrazando al guardia al final”.
Para garantizar aún más que la seguridad del almacén tendría que aventurarse fuera de sus zonas de confort para cuestionar la autoridad de Milam, se aseguró de llegar al sitio cuando fueran las tres de la madrugada en los Estados Unidos, donde estaba ubicada la sede principal de la compañía y de donde había sido mandado. Así, si alguno de los guardias quería llamar a confirmar si se suponía que Milam debería estar ahí, iban a tener que sacar a alguien de la cama y despertarlo -y parece que nadie está dispuesto a hacer eso.
“Lo que encontramos fue un ambiente sumiso, no querían ser irrespetuosos”, señala Milam, y agrega que se encontró con el mismo ambiente cuando hizo algo similar en los almacenes de la misma compañía en China. “No querían faltarnos el respeto porque parecía que teníamos las tarjetas de identidad apropiadas y definitivamente, no estaban acostumbrados a tener visita de Estados Unidos, pero aquí estábamos nosotros con nuestras caras amigables y grandes tarjetas de identidad”.
En algunos casos, incluso, los distintivos o insignias no fueron necesarios; el retraimiento de la gente para desafiar lo que Milam estaba hacienda en su local era más que suficiente. Él menciona una época en que fue contratado para infiltrarse en el edificio de una refinería de petróleo en Holanda, pero debido al uso de las ‘trampas para hombres’ -en la cual desliza una tarjeta de identidad, sube a un tubo, lo escanean y se baja por el otro lado- no pudo simplemente entrar.
“Así que me quede en el área de fumadores un miércoles… No sé si es Holanda en general o solo la compañía, pero les dan ese día libre para estar en casa con sus familias”, anota Milam. “Así que me hice amigo de una dama y le dije, ‘Sí, mi jefe se tenía que ir a casa porque tenía que hacer un vuelo de emergencia. No sé quién es el que está trabajando con él en este momento, pero el otro empleado tampoco ha venido’”.
La dama me contestó que no había problema y procedió a dar fe de Milam a los encargados de seguridad, los cuales ni siquiera lo miraron antes de darle el distintivo de visitante y pasarlo por la trampa de hombres.
Sin embargo, no siempre ha sido tan fácil para Milam y su equipo. Recuerda que en España, cuando estaba haciéndole pruebas a la misma refinería de petróleo y después de un poco de reconocimiento preliminar, se metió en problemas. Sin embargo, últimamente, la dinámica de la cultura de género ha terminado trabajando a su favor -y en detrimento de la seguridad de la compañía.
Después de hacer un reconocimiento a cómo es que las tarjetas de identidad de la compañía se veían y crear facsímiles parecidos, Milam adquirió un cartón del tamaño de una tarjeta de crédito hecha por Hardekrnel (equipada con Kali Linux) y la configuró para devolverle la llamada a un comando y servidor de control a través de un canal seguro. El único problema era que necesitaba un cuarto de conferencias abierto donde pudiera conectarlo.
“Así que identificamos al director legal, encontramos su firma y escribimos nuestra propia carta que decía: ‘Ayuden a estas personas en lo que puedan. Esto se trata de una auditoría a presión de la que nadie sabía nada’, y terminamos la carta con su firma”, comenta Milam. “Todo parecía real”.
Con la carta en la mano, Milam procedió a pedirle a la señora que estaba en la recepción del local que le dé acceso al cuarto de conferencias.
“La cosa es que las mujeres de mediana edad se sienten con el poder de preguntar qué es lo que hace ahí”, afirma. “Ella hizo un buen trabajo al interrogarme por unos 10 minutos, lo tengo todo en un video. Le entregué la carta y podía decir por su cara que en realidad no se la estaba creyendo”.
Pero Milam continuó presionando y la mujer eventualmente aceptó hablarle sobre el tema al jefe de planta, punto en el cual la seguridad de la compañía se comenzó a desenredar.
“Ella le entrega la carta y muy rápidamente él la calla”, anota Milam. “Él dijo, ‘No me importa lo que digas, esta persona puede entrar’”. Así que a Milam le dieron el acceso al cuarto de conferencias donde conectó y abrió un reverse shell en el tablero para el servidor de control y comando.
Después del suceso, Milam sospechaba que los aspectos culturales habían jugado a su favor.
“Aunque esta señora estaba haciendo lo correcto, en este ambiente en España, parecía que los hombres mandaban a las mujeres”, comenta Milam.
A pesar que la compañía falló al protegerse, la resistencia inicial fue un buen comienzo y en algunos casos pudo haber sido suficiente para desviar las amenazas menos persistentes. Asimismo, hay otras medidas simples que hacen la vida de los atacantes más difícil como limitar los puntos de salida o tener a todos los empleados canalizados a través de un solo punto, señala Milam.
Los perímetros también se están expandiendo, cosa que también tiene que ser tomado en consideración a la hora de planificar la seguridad. “Tiene que haber más de un perímetro de seguridad”, indica Besse. “Las barreras tienen que estar diseñadas en zonas perimetrales, así que si un perímetro es violado, el adversario no estaría en contacto directo con el activo. Esto proporciona la primera posible advertencia de que alguien o algo está intentando penetrar la seguridad de una organización”.
Incluso la zona más externa debería presentar un frente más difícil o complicado para los adversarios; sin embargo, mientras mayor adversidad encuentra el enemigo cuanto antes, mejor. Así como Besse señala, los atacantes no van a gastar su tiempo en objetivos que los frenen.
“Esta es una premisa central de la que me he dado cuenta con el pasar de los años: los atacantes intentan romper el perímetro, y si se dan cuenta que es difícil, normalmente siguen adelante y lo dejan de lado”, señala Besse. “Obviamente, van a optar por el camino que les proporcione menos resistencia”.
Esa es la razón por la cual, agrega, independientemente de lo que está protegiendo, obviamente no debe ser el objetivo más sencillo. Pero el otro lado de la moneda es que ser el objetivo más complicado no siempre garantiza que el camino sea más fácil.
“Puede querer ser el objetivo más complicado”, comenta Besse. “Si es el gobierno protegiendo armas nucleares o recursos militares, de hecho va a querer ser el objetivo más complicado; sin embargo todo esto tiene un precio”.
Así que si una compañía está luchando con un presupuesto, como ocurre en la mayoría de organizaciones y empresas, debería realizar una evaluación exhaustiva de los riesgos y si es que en verdad son tan grandes. Desde ahí se podrá determinar cuáles son las pérdidas potenciales y cuál debería ser su nivel de protección.
“Y a veces”, señala Besse, “ser el objetivo más complicado o difícil, lo hace uno atractivo”.
– Grant Hatchimonji, CSO (EE.UU.)
