Skip to main content
Líder en el Cuadrante Mágico™ de Gartner® 2026 para Protección de Endpoints. Seis años consecutivos.Descubre por qué
Background image for Ataques de Tailgating en Ciberseguridad: Desafíos y Prevención
Cybersecurity 101/Seguridad de la identidad/Ataques de Tailgating

Ataques de Tailgating en Ciberseguridad: Desafíos y Prevención

Los ataques de Tailgating explotan la cortesía humana para eludir los controles de acceso físico. Un atacante sigue a una persona autorizada a través de una puerta segura para obtener acceso.

Autor: SentinelOneRevisor: Arijeet Ghatak

¿Qué es un ataque de tailgating?

Un desconocido que lleva dos cajas de papel para impresora se acerca detrás de su empleado en la entrada con lector de credenciales. Su empleado sostiene la puerta abierta. En ese acto de cortesía de tres segundos, se omiten todas las reglas de firewall, políticas de segmentación de red y defensas perimetrales que usted construyó. El atacante está dentro, y solo los controles físicos y de endpoint en capas pueden detener la cadena de ataque que sigue.

Un ataque de tailgating es una técnica de ingeniería social física en la que una persona no autorizada obtiene acceso a un área restringida siguiendo de cerca a una persona autorizada a través de un punto de acceso seguro. El atacante explota el comportamiento humano, no vulnerabilidades técnicas, para eludir por completo los controles de acceso físico.

Una técnica estrechamente relacionada, el piggybacking, difiere en un aspecto crítico: la persona autorizada permite conscientemente la entrada de la persona no autorizada. En el tailgating, la víctima no es consciente. En el piggybacking, la presión social o el engaño los convence de participar activamente sosteniendo la puerta o compartiendo el acceso.

Aspecto TailgatingPiggybacking
ConcienciaLa persona autorizada no es conscienteLa persona autorizada permite la entrada conscientemente
MétodoEl atacante sigue de cerca o se mezcla con la multitudLa presión social o el engaño convencen al facilitador
Contramedida principalBarreras físicas (torniquetes, esclusas de seguridad)Capacitación y cultura de desafío

Esta distinción es importante para su estrategia de defensa. Un torniquete de altura completa detiene el tailgating pero no puede evitar que dos personas entren juntas a un compartimento. Una política de cultura de desafío aborda el piggybacking pero no hace nada contra un tailgater sigiloso en un vestíbulo concurrido.

Tailgating Attacks - Featured Image | SentinelOne

Por qué los ataques de tailgating son relevantes para la ciberseguridad 

Un ataque de tailgating elude todos los controles digitales que haya implementado. Una vez que pasa el lector de credenciales, el atacante tiene proximidad física a puertos de red internos, estaciones de trabajo desatendidas, salas de servidores y cuartos de cableado. Sus firewalls perimetrales, segmentación de red y políticas de acceso son irrelevantes cuando alguien está junto al activo.

MITRE ATT&CK reconoce este riesgo directamente. La táctica TA0043 (Reconocimiento) incluye la recopilación por parte del adversario de datos de ubicación física de la víctima como parte de la selección de objetivos. A partir de ahí, la kill chain se vincula con técnicas como T1200 (Adiciones de hardware) y T1091 (Replicación mediante medios extraíbles), convirtiendo una sola entrada física en un compromiso cibernético completo.

Una vez dentro, el atacante opera con el mismo acceso que un insider malicioso. Su capa de seguridad de endpoint es el último límite de control efectivo. Esa convergencia de riesgo físico y cibernético es la razón por la que el tailgating exige el mismo rigor defensivo que cualquier ruta de ataque basada en red.

Componentes principales de un ataque de tailgating

Cada incidente de tailgating o piggybacking depende del mismo conjunto de elementos explotables. Conocer cuáles son le ayuda a identificar brechas en sus propias defensas.

  • Un punto de control de acceso con tráfico humano. Puertas aseguradas, entradas con lector de credenciales, vestíbulos con torniquetes y muelles de carga crean oportunidades. Cuanto mayor es el flujo de personas, más fácil es para un atacante mezclarse.
  • Una persona autorizada que actúa como facilitador involuntario. El atacante necesita a alguien con acceso legítimo para abrir la puerta, pasar la credencial por el lector o simplemente caminar delante. En escenarios de piggybacking, el facilitador es manipulado socialmente para participar activamente.
  • Un factor psicológico. La guía de CISA documenta varios: normas de ayuda, deferencia a la autoridad percibida, evitar la confrontación y urgencia. Los atacantes combinan estos factores. Una persona con uniforme de técnico que lleva equipo pesado y afirma tener una fecha límite ajustada explota tres desencadenantes psicológicos simultáneamente.
  • Un pretexto o historia de cobertura. Los pretextos comunes incluyen ser un nuevo empleado sin credencial activada, un repartidor, un técnico de mantenimiento o un visitante cuyo acompañante se retrasa. Elementos como portapapeles, bolsas de herramientas y cordones prestados refuerzan el engaño.
  • Una brecha en los controles físicos o procedimentales. Puede ser una puerta batiente que no obliga al paso de una sola persona, una caseta de vigilancia susceptible a ingeniería social o una política que existe en papel pero carece de aplicación.

Estos componentes interactúan como un sistema. Eliminar cualquier elemento, ya sea mediante barreras físicas, capacitación o aplicación de procedimientos, interrumpe la cadena de ataque.

Cómo funcionan los ataques de tailgating

Los atacantes combinan estos componentes en métodos específicos que siguen patrones predecibles. Estas son las técnicas que los pentesters y atacantes reales utilizan repetidamente.

  • El enfoque de “manos ocupadas”. El atacante llega cargando cajas, bandejas de comida o equipo. Las normas sociales obligan a su empleado a sostener la puerta.
  • Suplantación de identidad. Vestido como técnico, mensajero o personal de limpieza, el atacante se acerca a una entrada con confianza.
  • El pretexto de “nuevo empleado”. El atacante afirma que su credencial aún no ha sido activada y pide ayuda a un empleado para pasar la puerta. Esta variante explota la disposición a ayudar y la plausibilidad de retrasos en la incorporación.
  • Explotación de áreas de fumadores y salas de descanso. Los atacantes se posicionan cerca de puntos de reunión informales donde los empleados reingresan a los edificios sin verificación formal.
  • Ingeniería social al personal de seguridad. Algunos atacantes evitan la puerta por completo y se dirigen al puesto de seguridad con personal.

Cada método apunta a una brecha específica en los controles físicos o procedimentales, lo que explica por qué estos ataques tienen tanto éxito de forma consistente.

Por qué tienen éxito los ataques de tailgating

Los ataques de tailgating siguen siendo efectivos por razones estructurales, psicológicas y organizacionales.

  1. La cortesía humana supera la capacitación en seguridad. Sus empleados saben que la política dice que no deben sostener la puerta. Sin embargo, la sostienen. El costo social de desafiar a alguien que podría ser un colega legítimo se percibe como mayor en el momento que el riesgo abstracto de una brecha de seguridad. La capacitación por sí sola no puede anular esta norma de comportamiento profundamente arraigada.
  2. Las organizaciones suelen invertir poco en los controles que saben que necesitan. Esa brecha entre conciencia y acción significa que las medidas más efectivas para detener el tailgating suelen estar ausentes en las entradas donde más se necesitan.
  3. Las organizaciones no siempre registran incidentes de tailgating. No se puede defender contra lo que no se mide, y no se puede justificar presupuesto para controles si no se cuenta con datos de incidentes para presentar a la dirección.
  4. Los sistemas tradicionales de control de acceso tienen un punto ciego. La mayoría de los sistemas físicos de control de acceso en puertas batientes no pueden confirmar si un usuario realmente ingresó al edificio después de pasar la credencial. Sin controles que obliguen al paso de una sola persona, es difícil saber con certeza quién está dentro.
  5. El piggybacking explota las relaciones de confianza. Cuando la persona autorizada participa activamente, incluso los sistemas de identificación sofisticados tienen dificultades. Dos personas entrando juntas a una esclusa de seguridad eluden la suposición de ocupación individual en la que se basan muchos controles físicos.

Estos factores se agravan: las organizaciones que no registran incidentes no pueden justificar la implementación de barreras, dejando a los empleados expuestos a una presión social constante en puntos de entrada no controlados.

Desafíos para detener el tailgating

Incluso las organizaciones que reconocen el riesgo de tailgating enfrentan obstáculos reales al implementar defensas.

  1. Flujo de personas versus seguridad. Las esclusas de seguridad y puertas giratorias de seguridad obligan al paso de una sola persona pero ralentizan el ingreso. Durante las horas pico, la fricción operativa genera presión para relajar los controles, precisamente cuando el riesgo de tailgating es mayor.
  2. El problema del piggybacking requiere un cambio cultural. Las barreras físicas pueden detener a un tailgater sigiloso, pero no pueden evitar que un empleado sostenga voluntariamente una puerta. Abordar el piggybacking requiere construir una cultura de desafío donde los empleados se sientan facultados y se espere que verifiquen a personas desconocidas. Esto es un esfuerzo de cambio organizacional, no una compra de tecnología.
  3. Los equipos de seguridad física y cibernética operan en silos. En la mayoría de las empresas, la seguridad física depende de gestión de instalaciones mientras que la ciberseguridad reporta al CIO o CISO. Esta separación estructural significa que los datos de brechas físicas rara vez se integran en las evaluaciones de riesgo cibernético, y la inteligencia de amenazas cibernéticas rara vez informa las decisiones de postura de seguridad física. El resultado es una respuesta fragmentada ante un riesgo convergente.
  4. Detectar no es prevenir. Los torniquetes ópticos y sensores de identificación de tailgating activan alarmas después del ingreso. Saber que alguien hizo tailgating no es lo mismo que detenerlo.

Estos desafíos estructurales explican por qué incluso las organizaciones conscientes de la seguridad cometen errores previsibles en sus programas de defensa contra tailgating.

Errores comunes en la defensa contra tailgating

Estos errores documentados aparecen repetidamente en los programas de seguridad empresarial.

  1. Tratar el tailgating y el piggybacking como el mismo problema. Requieren contramedidas diferentes. Implementar torniquetes sin capacitación aborda el tailgating pero deja el piggybacking completamente expuesto.
  2. Dejar brechas físicas alrededor de las entradas de seguridad. Las organizaciones pueden invertir en controles de entrada y aun así dejar rutas alternativas a su alrededor, socavando todo el sistema.
  3. Asumir que los lectores de credenciales previenen el tailgating. Los sistemas tradicionales verifican credenciales pero no pueden confirmar que una segunda persona no haya pasado por la puerta. Pasar la tarjeta no equivale a paso de una sola persona.
  4. Confiar en alarmas de puertas abiertas como control principal. Las alarmas notifican después del ingreso. Si el personal las ignora o no responde, el tailgater opera libremente.
  5. Omitir pruebas de red team a los controles físicos. Sin pruebas, solo se está adivinando.
  6. Ignorar las consecuencias cibernéticas de una brecha física. No conectar el acceso físico con los riesgos de endpoint, red e identidad deja la cadena de ataque sin abordar por completo.

Evitar estos errores allana el camino para un programa de defensa en capas que aborde tanto el tailgating como el piggybacking.

Cómo prevenir ataques de tailgating

Construya su programa de defensa en capas, ajustando la intensidad del control a la sensibilidad de la zona.

  • Implemente barreras físicas que obliguen al paso de una sola persona. Las puertas giratorias de seguridad y esclusas de seguridad son los controles de prevención más sólidos. Priorícelos en salas de servidores, centros de datos y áreas ejecutivas.
  • Fomente una cultura de desafío, no solo una política. Las políticas escritas que indican a los empleados no sostener puertas son necesarias pero insuficientes. Capacite a los empleados en escenarios de tailgating y piggybacking. Utilice capacitación dirigida para ejecutivos y administradores de sistemas.
  • Implemente gestión de visitantes alineada con ISO 27001 Anexo A 7.2. Mantenga registros verificables de cada visitante. Restrinja el acceso de contratistas a áreas y periodos autorizados específicos. Integre su sistema de gestión de visitantes con las bases de datos de RRHH y lectores de credenciales.
  • Realice pruebas de red team a sus controles físicos de forma regular. NIST SP 800-53 exige intentos no anunciados de eludir controles de acceso físico para entornos de seguridad ALTA. Las pruebas de penetración física revelan las brechas entre sus controles documentados y su postura de seguridad real.
  • Conecte los datos de acceso físico con sus operaciones de seguridad. Envíe los registros de lectores de credenciales, alertas de tailgating y datos de gestión de visitantes a su SIEM o plataforma de operaciones de seguridad. Cuando una alerta de tailgating se correlaciona con un comportamiento anómalo de endpoint en el mismo piso, su SOC puede responder a toda la cadena de ataque en lugar de tratar cada evento de forma aislada.
  • Aplique principios de Zero Trust a la presencia física. La presencia física dentro de un edificio no debe otorgar acceso implícito a la red. La verificación continua de la postura del dispositivo, la aplicación de privilegios mínimos y la  microsegmentación garantizan que, incluso si un tailgater accede a un puerto de red, no pueda acceder a los recursos organizacionales sin cumplir los requisitos de identidad y estado del dispositivo.

Estos controles en capas reducen significativamente el riesgo de tailgating, pero ninguna defensa física es perfecta. Cuando un atacante logra ingresar, el ataque pasa de lo físico a lo digital, y entra en juego otro conjunto de controles.

La cadena de ataque físico a cibernético

El acceso físico habilita rutas específicas de ataque cibernético. Conocer estas rutas le ayuda a priorizar los controles de endpoint e identidad.

  1. Inserción de malware por USB (MITRE T1091). Un tailgater accede a una estación de trabajo desatendida, inserta un dispositivo USB preconfigurado e inicia la ejecución sin interacción a nivel de red. Sus firewalls perimetrales nunca ven este tráfico.
  2. Extracción de credenciales (MITRE T1003.001). Desde un endpoint accedido físicamente, un atacante ejecuta herramientas de recolección de credenciales contra la memoria local. El resultado es una  cadena de escalamiento de privilegios desde una sola estación de trabajo hasta credenciales suficientes para infraestructura crítica.
  3. Instalación de dispositivo rogue (MITRE T1200). Un tailgater conecta un punto de acceso inalámbrico rogue a un puerto de red interno en una sala de conferencias o cuarto de cableado sin llave. El atacante ahora tiene acceso inalámbrico persistente a su red interna desde fuera del edificio.

En todos los escenarios, el endpoint es la última capa de control. Los firewalls perimetrales y los controles de acceso a la red no inspeccionan la actividad iniciada desde una máquina interna conectada legítimamente, lo que convierte a la seguridad de endpoint en la última línea de defensa tras una brecha física.

Reduzca el riesgo de identidad en toda su organización

Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.

Demostración

Puntos clave

Los ataques de tailgating y piggybacking eluden toda su pila de seguridad digital explotando el comportamiento humano en los puntos de acceso físico. 

Defenderse contra el tailgating requiere barreras físicas en capas, una cultura de desafío entrenada, pruebas de red team y seguridad de endpoint que opere como la última línea de defensa cuando fallan los controles físicos.

Preguntas frecuentes

Un ataque de tailgating es una técnica de ingeniería social física en la que una persona no autorizada obtiene acceso a un área restringida siguiendo de cerca a una persona autorizada a través de un punto de acceso seguro. El atacante se aprovecha del comportamiento humano, como la tendencia a mantener las puertas abiertas para otros, en lugar de explotar vulnerabilidades técnicas. 

Una vez dentro, el atacante puede acceder a sistemas internos, instalar dispositivos no autorizados o robar credenciales, lo que convierte al tailgating en un puente directo entre una brecha física y un compromiso cibernético.

El Tailgating ocurre cuando una persona no autorizada sigue a un individuo autorizado a través de un punto de acceso sin su conocimiento o consentimiento. El Piggybacking implica que la persona autorizada permite conscientemente el acceso, generalmente debido a presión social o engaño. 

La distinción es importante para la selección de controles: las barreras físicas detienen el tailgating, mientras que la capacitación y la cultura de desafío abordan el piggybacking. Implementar solo un tipo de contramedida deja abierto el otro vector de ataque.

La seguridad de endpoints no puede prevenir el acceso físico a un edificio. Sin embargo, actúa como la última capa defensiva cuando fallan los controles físicos. Puede detectar la ejecución de malware por USB, volcado de credenciales y actividad anómala de procesos en endpoints accedidos por un intruso que se cuela. 

Las políticas de control de dispositivos bloquean periféricos USB y Bluetooth no autorizados. El descubrimiento de red identifica dispositivos no autorizados conectados a puertos internos. El endpoint es el límite de control final en un escenario de brecha física.

NIST SP 800-53 (familia PE), ISO 27001:2022 (Anexo A 7.2), la Política de Seguridad CJIS del FBI y HIPAA exigen controles de acceso físico que aborden el tailgating y el piggybacking. NIST SP 800-116 Rev. 1 establece explícitamente que incluso la autenticación multifactor PIV es insuficiente sin contramedidas físicas que garanticen el paso de una sola persona en los puntos de entrada. 

Las organizaciones sujetas a múltiples marcos deben mapear sus controles físicos con los requisitos de cada estándar y documentar la evidencia de cumplimiento.

Las pruebas de penetración física realizadas por operadores de red team capacitados son el método más eficaz. ISACA valida la simulación de tailgating como una técnica formal de auditoría. NIST SP 800-53 Rev. 5 requiere intentos no anunciados de eludir o sortear los controles de seguridad asociados con puntos de acceso físico para los perfiles de seguridad HIGH. 

Realice pruebas en diferentes momentos del día, puntos de entrada y pretextos para obtener una visión precisa de la exposición real de su organización.

Los centros de datos contienen la infraestructura que ejecuta toda su organización. Un intruso que accede a un rack de servidores puede instalar implantes de hardware que operan por debajo de la capa del sistema operativo, invisibles para la seguridad en los endpoints. 

Pueden conectar puntos de acceso inalámbricos no autorizados para acceso remoto persistente, insertar dispositivos USB en sistemas aislados o extraer físicamente medios de almacenamiento. Una sola entrada exitosa mediante tailgating a un centro de datos puede comprometer todo el entorno debido a la densidad y criticidad de los sistemas alojados allí.

Descubre más sobre Seguridad de la identidad

Autenticación multifactor adaptativa: Guía completaSeguridad de la identidad

Autenticación multifactor adaptativa: Guía completa

El MFA adaptativo ajusta la fortaleza de la autenticación según la evaluación de riesgos en tiempo real, supervisando continuamente las sesiones para detener ataques de robo de tokens que eluden el MFA tradicional.

Seguir leyendo
¿Qué es MFA resistente al phishing? Seguridad modernaSeguridad de la identidad

¿Qué es MFA resistente al phishing? Seguridad moderna

MFA resistente al phishing utiliza vinculación criptográfica de dominios para detener el robo de credenciales. Descubra cómo funcionan los métodos basados en FIDO2 y PKI y por qué CISA los considera el estándar de oro.

Seguir leyendo
Seguridad del proveedor de identidad (IDP): qué es y por qué importaSeguridad de la identidad

Seguridad del proveedor de identidad (IDP): qué es y por qué importa

Aprenda cómo los sistemas de detección de intrusiones y la autenticación FIDO2 detienen los ataques a IdP dirigidos a su infraestructura.

Seguir leyendo
¿Qué es NTLM? Riesgos de seguridad de NTLM en Windows y guía de migraciónSeguridad de la identidad

¿Qué es NTLM? Riesgos de seguridad de NTLM en Windows y guía de migración

NTLM es un protocolo de autenticación de Windows con vulnerabilidades críticas. Conozca los ataques Pass-the-Hash, riesgos de relay y migración antes de octubre de 2026.

Seguir leyendo
¿Está listo para revolucionar sus operaciones de seguridad?

¿Está listo para revolucionar sus operaciones de seguridad?

Descubra cómo SentinelOne AI SIEM puede transformar su SOC en una central autónoma. Póngase en contacto con nosotros hoy mismo para obtener una demostración personalizada y ver el futuro de la seguridad en acción.

Solicitar una demostración