En el mundo de la ciberseguridad, cualquier medio utilizado para obtener informaciĆ³n personal sobre uno mismo se considera un tipo de ciberataque, desde intentar acceder a nuestro equipo personal o buscar en la basura, hasta mirar por encima del hombro mientras escribimos un correo o utilizamos nuestro dispositivo personal.
Shoulder surfing es una tĆ©cnica de ingenierĆa social empleada por los atacantes con el objetivo de conseguir informaciĆ³n de un usuario en concreto. Puede parecer mentira, pero es una tĆ©cnica muy provechosa, que permite robar nuestras credenciales, contactos, cĆ³digos de desbloqueo (PIN, patrĆ³n, etc.), incluso datos bancarios.
En su sencillez reside su Ć©xito, y es que ninguno de nosotros llega a ser consciente cuando viajamos en metro, en el autobĆŗs o en tren de que, quien se sienta a nuestro lado o se encuentra muy prĆ³ximo a nosotros, puede estar observando nuestros movimientos en el dispositivo con intenciones maliciosas.
Para llevar a cabo esta tĆ©cnica, no es necesaria ninguna habilidad o herramienta especĆfica, simplemente paciencia y, eventualmente, nosotros mismos seremos los que acabemos por revelar nuestra informaciĆ³n al ciberdelincuente. Para entenderlo mejor, veĆ”moslo a travĆ©s de un ejemplo:
El hijo de la familia Cibernauta se encontraba viajando en el metro, camino a la universidad. Como cada maƱana, se entretenĆa escuchando mĆŗsica y navegando por sus redes sociales, bloqueando y desbloqueando cada poco tiempo su dispositivo. Sin embargo, aquella maƱana no podĆa ni imaginarse lo que estaba a punto de pasar. Mientras estaba concentrado en su dispositivo mĆ³vil, notĆ³ como un extraƱo se acercĆ³ por detrĆ”s, permaneciendo muy atento a los movimientos que nuestro protagonista llevaba a cabo.
Tras un par de paradas, el desconocido lo empujĆ³, agarrĆ³ su smartphone y saliĆ³ corriendo por las puertas del metro, huyendo hacia la salida. Nuestro protagonista estaba confundido y aturdido, y tardĆ³ unos segundos en ser consciente de que su telĆ©fono mĆ³vil habĆa sido robado.
El atacante, tras observar detenidamente, consiguiĆ³ descubrir el cĆ³digo de desbloqueo del hijo de la familia, y en cuanto tuvo la oportunidad, se hizo con Ć©l y saliĆ³ corriendo. Ahora, tenĆa acceso a todos los contenidos sin cifrar del dispositivo mĆ³vil, asĆ como acceso a cualquier cuenta cuyas credenciales estuviesen guardadas en el navegador y el smartphone.
Nuestro protagonista ademĆ”s de denunciar el robo, cambiĆ³ las credenciales de todas sus cuentas en cuanto tuvo acceso a Internet y realizĆ³ un borrado seguro del dispositivo de manera remota. Sin embargo, no podĆa evitar que el ciberdelincuente hubiese tenido acceso durante un tiempo a toda la informaciĆ³n almacenada en su smartphone poniendo en peligro su privacidad y seguridad.
Este tipo de ataques no solo pueden darse en transportes pĆŗblicos, tambiĆ©n puede ocurrir cuando estamos utilizando un cajero automĆ”tico, escribiendo algo personal en nuestra agenda o un cuaderno, o cuando estamos hablando por telĆ©fono y alguien se acerca para oĆr la conversaciĆ³n.
ĀæCĆ³mo podemos prevenir el shoulder surfing?
Como usuarios, tenemos a nuestra disposiciĆ³n varias pautas y herramientas con las que reducir drĆ”sticamente las probabilidades de ser vĆctimas de este tipo de ataque:
Utilizar un gestor de contraseƱas: una forma de proteger nuestras credenciales de miradas indiscretas es utilizar un gestor de contraseƱas. De este modo, serĆ” mĆ”s difĆcil para el atacante hacerse con nuestras contraseƱas al estar cifradas.
Para que esta medida de protecciĆ³n tenga Ć©xito, debemos evitar guardar las credenciales en nuestro navegador, servicio o aplicaciĆ³n.
Utilizar la verificaciĆ³n en dos pasos: aƱadir una capa de seguridad extra a nuestras cuentas. De este modo, aunque el atacante se haga con nuestras credenciales, necesitarĆ” otro elemento del que sĆ³lo nosotros disponemos para acceder a nuestras cuentas.
Evitar que terceros tengan visiĆ³n de la pantalla: tratar de evitar que terceros tengan visibilidad sobre lo que estamos haciendo, una medida simple, pero fundamental. QuizĆ”s podamos ponernos de espaldas a una pared o, en determinados dispositivos, podemos emplear filtros de privacidad. Se trata de pantallas que impiden la visiĆ³n desde determinados Ć”ngulos, poniĆ©ndoselo muy difĆcil a aquellos que estĆ©n mirando por encima de nuestro hombro.
Esta medida tambiƩn se aplica, por ejemplo, cuando nos encontramos en un cajero automƔtico y no queremos que terceros puedan ver nuestro PIN. Podemos taparnos la mano, asegurarnos de que no hay nadie cerca, etc.
Tratar de no compartir informaciĆ³n personal: si nos encontramos en un lugar pĆŗblico, rodeado de gente, quizĆ”s no sea el mejor momento para ingresar datos sensibles, como nuestra contraseƱa del correo electrĆ³nico, datos de la tarjeta de crĆ©dito o credenciales de una aplicaciĆ³n bancaria. Si podemos evitarlo, minimizaremos los riesgos de sufrir este tipo de ataque.
Cifrar el dispositivo: finalmente, como medida de seguridad y protecciĆ³n de nuestra informaciĆ³n, lo mejor que podemos hacer es cifrar el dispositivo y su contenido. De este modo, si nuestro equipo fuese robado, el atacante no podrĆa acceder a su contenido sin la clave de descifrado.
En conclusiĆ³n, los ciberdelincuentes cuentan con un abanico muy extenso de tĆ©cnicas con las que tratar de hacerse con nuestros datos, que van mĆ”s allĆ” de la infecciĆ³n por malware o la suplantaciĆ³n de identidad (spoofing). La seguridad fĆsica de nuestros dispositivos y nuestra informaciĆ³n tiene un papel fundamental en la ciberseguridad.
Referencias y CrƩditos:
www.osi.es.(2021, septiembre 11). Shoulder surfing: mirando por encima del hombro: https://www.osi.es/es/actualidad/historias-reales/2020/09/11/shoulder-surfing-mirando-por-encima-del-hombro