Shoulder surfing: mirando por encima del hombro

En el mundo de la ciberseguridad, cualquier medio utilizado para obtener información personal sobre uno mismo se considera un tipo de ciberataque, desde intentar acceder a nuestro equipo personal o buscar en la basura, hasta mirar por encima del hombro mientras escribimos un correo o utilizamos nuestro dispositivo personal. Esto último es lo que se conoce como shoulder surfing y es una técnica de ingeniería social empleada por los atacantes con el objetivo de conseguir información de un usuario en concreto. Puede parecer mentira, pero es una técnica muy provechosa, que permite robar nuestras credenciales, contactos, códigos de desbloqueo (PIN, patrón, etc.), incluso datos bancarios.

En su sencillez reside su éxito, y es que ninguno de nosotros llega a ser consciente cuando viajamos en metro, en el autobús o en tren de que, quien se sienta a nuestro lado o se encuentra muy próximo a nosotros, puede estar observando nuestros movimientos en el dispositivo con intenciones maliciosas.

Para llevar a cabo esta técnica, no es necesaria ninguna habilidad o herramienta específica, simplemente paciencia y, eventualmente, nosotros mismos seremos los que acabemos por revelar nuestra información al ciberdelincuente. Para entenderlo mejor, veámoslo a través de un ejemplo:

El hijo de la familia Cibernauta se encontraba viajando en el metro, camino a la universidad. Como cada mañana, se entretenía escuchando música y navegando por sus redes sociales, bloqueando y desbloqueando cada poco tiempo su dispositivo. Sin embargo, aquella mañana no podía ni imaginarse lo que estaba a punto de pasar. Mientras estaba concentrado en su dispositivo móvil, notó como un extraño se acercó por detrás, permaneciendo muy atento a los movimientos que nuestro protagonista llevaba a cabo. 

Tras un par de paradas, el desconocido lo empujó, agarró su smartphone y salió corriendo por las puertas del metro, huyendo hacia la salida. Nuestro protagonista estaba confundido y aturdido, y tardó unos segundos en ser consciente de que su teléfono móvil había sido robado.

El atacante, tras observar detenidamente, consiguió descubrir el código de desbloqueo del hijo de la familia, y en cuanto tuvo la oportunidad, se hizo con él y salió corriendo. Ahora, tenía acceso a todos los contenidos sin cifrar del dispositivo móvil, así como acceso a cualquier cuenta cuyas credenciales estuviesen guardadas en el navegador y el smartphone.

Nuestro protagonista además de denunciar el robo, cambió las credenciales de todas sus cuentas en cuanto tuvo acceso a Internet y realizó un borrado seguro del dispositivo de manera remota. Sin embargo, no podía evitar que el ciberdelincuente hubiese tenido acceso durante un tiempo a toda la información almacenada en su smartphone poniendo en peligro su privacidad y seguridad.

Este tipo de ataques no solo pueden darse en transportes públicos, también puede ocurrir cuando estamos utilizando un cajero automático, escribiendo algo personal en nuestra agenda o un cuaderno, o cuando estamos hablando por teléfono y alguien se acerca para oír la conversación.

¿Cómo podemos prevenir el shoulder surfing?

Como usuarios, tenemos a nuestra disposición varias pautas y herramientas con las que reducir drásticamente las probabilidades de ser víctimas de este tipo de ataque:

1. Utilizar un gestor de contraseñas: una forma de proteger nuestras credenciales de miradas indiscretas es utilizar un gestor de contraseñas. De este modo, será más difícil para el atacante hacerse con nuestras contraseñas al estar cifradas.

   Para que esta medida de protección tenga éxito, debemos evitar guardar las credenciales en nuestro navegador, servicio o aplicación.

2. Utilizar la verificación en dos pasos: añadir una capa de seguridad extra a nuestras cuentas. De este modo, aunque el atacante se haga con nuestras credenciales, necesitará otro elemento del que sólo nosotros disponemos para acceder a nuestras cuentas.

3. Evitar que terceros tengan visión de la pantalla: tratar de evitar que terceros tengan visibilidad sobre lo que estamos haciendo, una medida simple, pero fundamental. Quizás podamos ponernos de espaldas a una pared o, en determinados dispositivos, podemos emplear filtros de privacidad. Se trata de pantallas que impiden la visión desde determinados ángulos, poniéndoselo muy difícil a aquellos que estén mirando por encima de nuestro hombro.

   Esta medida también se aplica, por ejemplo, cuando nos encontramos en un cajero automático y no queremos que terceros puedan ver nuestro PIN. Podemos taparnos la mano, asegurarnos de que no hay nadie cerca, etc.

4. Tratar de no compartir información personal: si nos encontramos en un lugar público, rodeado de gente, quizás no sea el mejor momento para ingresar datos sensibles, como nuestra contraseña del correo electrónico, datos de la tarjeta de crédito o credenciales de una aplicación bancaria. Si podemos evitarlo, minimizaremos los riesgos de sufrir este tipo de ataque.

5. Cifrar el dispositivo: finalmente, como medida de seguridad y protección de nuestra información, lo mejor que podemos hacer es cifrar el dispositivo y su contenido. De este modo, si nuestro equipo fuese robado, el atacante no podría acceder a su contenido sin la clave de descifrado.

En conclusión, los ciberdelincuentes cuentan con un abanico muy extenso de técnicas con las que tratar de hacerse con nuestros datos, que van más allá de la infección por malware o la suplantación de identidad (spoofing). La seguridad física de nuestros dispositivos y nuestra información tiene un papel fundamental en la ciberseguridad. 

Si tienes alguna duda relacionada con la ciberseguridad o crees ser víctima de algún tipo de ciberataque, consulta con nosotros en el 017, nuestra línea de ayuda, totalmente gratuita y confidencial.

¿Alguna vez has sentido que alguien te espiaba? ¿Tomas algún tipo de medida para evitar este tipo de ataque? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.