'Shoulder surfing' o cómo ser víctima del robo de datos mirando por encima del hombro

Todo lo que hay que saber sobre el 'shoulder surfing'

Tal y como así lo explican desde Instituto Nacional de Ciberseguridad (INCIBE), el 'shoulder surfing' es una técnica de ingeniería social empleada por los atacantes con el objetivo de conseguir información de un usuario en concreto. "Es una técnica muy provechosa, que permite robar nuestras credenciales, contactos, códigos de desbloqueo (PIN, patrón, etc.), incluso datos bancarios", señalan desde este organismo.

"En su sencillez reside su éxito, y es que ninguno de nosotros llega a ser consciente cuando viajamos en metro, en el autobús o en tren de que, quien se sienta a nuestro lado o se encuentra muy próximo a nosotros, puede estar observando nuestros movimientos en el dispositivo con intenciones maliciosas. Para llevar a cabo esta técnica, no es necesaria ninguna habilidad o herramienta específica, simplemente paciencia y, eventualmente, nosotros mismos seremos los que acabemos por revelar nuestra información al ciberdelincuente", explican desde INCIBE.

Según explican desde empresa que ofrece servicios de hosting y soluciones en la nube para empresas y particulares, IONOS.es, existen dos maneras principales de llevar a cabo el 'shoulder surfing'. Por un lado están los ataques que pretenden obtener datos mediante una observación directa. En estos casos se observa a la víctima directamente "por encima del hombro" cuando se dispone, por ejemplo, a introducir su PIN personal para pagar con tarjeta en la caja.

La otra forma de llevarlo a cabo es grabando en vídeo a las víctimas. De esta forma, los delincuentes pueden analizar luego los vídeos y extraer la información que buscan. Según explican los expertos, hoy en día, las grabaciones en vídeo permiten reconocer códigos PIN para desbloquear dispositivos móviles, por ejemplo, incluso si la pantalla en sí no se ve en el vídeo: los movimientos de los dedos bastan para revelar el código de acceso.

¿Cómo se puede prevenir el shoulder surfing?

Como usuarios, tenemos a nuestra disposición varias pautas y herramientas con las que reducir drásticamente las probabilidades de ser víctimas de este tipo de ataque. Desde INCIBE han hincapié en seguir las siguientes recomendaciones.

Utilizar un gestor de contraseñas

Tal y como explican desde el Instituto Nacional de Ciberseguridad, una forma de proteger las credenciales de miradas indiscretas es utilizar un gestor de contraseñas. De este modo, será más difícil para el atacante hacerse con nuestras contraseñas al estar cifradas. Eso sí, para que esta medida de protección tenga éxito, hay que evitar guardar las credenciales en el navegador, servicio o aplicación.

Utilizar la verificación en dos pasos

Así, aunque el atacante se haga con las credenciales, necesitará otro elemento del que sólo cada uno dispone para acceder a sus cuentas.

Evitar que terceros tengan visión de la pantalla

Ponerse de espaldas a una pared o, en determinados dispositivos, emplear filtros de privacidad es más que recomendable. Se trata de pantallas que impiden la visión desde determinados ángulos, poniéndoselo muy difícil a aquellos que estén mirando por encima del hombro. Tal y como explican los expertos, esta medida también se aplica, por ejemplo, cuando se está en un cajero automático y no se quiere que terceros puedan ver el PIN. Se puede tapar la mano o asegurarse de que no hay nadie cerca, por ejemplo.

No compartir información personal

Si se está en un lugar público, rodeado de gente, quizás no sea el mejor momento para ingresar datos sensibles, como la contraseña del correo electrónico, datos de la tarjeta de crédito o credenciales de una aplicación bancaria. Si se puede evitar se minimizarán los riesgos de sufrir este tipo de ataque.

Cifrar el dispositivo

Como medida de seguridad y protección, lo mejor que se puede hacer según el INCIBE es cifrar el dispositivo y su contenido. De este modo, si el equipo fuese robado, el atacante no podría acceder a su contenido sin la clave de descifrado.