Este artículo relata la experiencia de un pentester durante una prueba de seguridad física en una empresa. La empresa contrató al equipo para realizar diversas pruebas, incluyendo una prueba física que implicaba simular un ataque y evaluar la respuesta de la seguridad. El objetivo principal era identificar vulnerabilidades en la seguridad física, como la capacidad de acceder a áreas restringidas, obtener información sensible y evadir la vigilancia.
La prueba comenzó con la obtención de insignias de visitante y una breve orientación. El pentester, equipado con herramientas como ganzúas, destornilladores, aire comprimido y herramientas de manipulación, se propuso identificar oportunidades para explotar las debilidades de seguridad. Un aspecto clave fue la influencia de un mentor experimentado (Tinker Secor), quien proporcionó consejos y apoyo.
Durante la primera fase, el equipo exploró el campus, mapeando cámaras y puntos de acceso. Descubrieron que podían moverse libremente por las instalaciones sin ser detectados, incluso realizando 'tailgating' (seguir a alguien para entrar) en un edificio secundario. Un incidente particularmente revelador fue cuando el pentester entró en una oficina sin ser cuestionado, lo que demostró una falta de diligencia por parte del personal.
El punto culminante de la prueba fue el robo de un contenedor de trituración, que contenía documentos confidenciales que debían haber sido destruidos. El contenedor, con un candado de baja calidad, fue fácilmente abierto y robado, demostrando una falla significativa en la seguridad. Además, el pentester experimentó con una técnica para engañar a los sensores de temperatura utilizando aire comprimido, buscando simular la presencia humana y abrir puertas.
La experiencia reveló una cultura de complacencia y falta de atención por parte del personal de seguridad. La ausencia de desafíos o interrogatorios, incluso al realizar acciones sospechosas, indicó una falta de rigor en los procedimientos de seguridad. El artículo destaca la importancia de la vigilancia constante, la capacitación del personal y la implementación de medidas de seguridad robustas para prevenir ataques físicos.