Más de una vez te ha pasado o has notado, en el transporte público, en un paso peatonal o en un lugar compartido, que un completo desconocido está mirando tu pantalla. Sin embargo, más allá de tratarse de una persona “chismosa”, se pude tratar de una práctica que tiene un nombre y puede poner en riesgo la información sensible que estás operando, como contraseñas o datos bancarios: se trata de "shoulder surfing".
Aunque a simple vista no se perciba, se trata de un método de ingeniería social que es usado por atacantes que miran “por encima del hombro” (de ahí proviene “shoulder surfing”) cuando los usuarios utilizan un dispositivo electrónico para obtener información personal, como contraseñas, un PIN de un cajero automático o el correo electrónico.
- Te recomendamos Los riesgos de exponer datos personales de niños en videollamadas Ciencia y Salud
Tipo de ataques ‘shoulder surfing’
Esta técnica tan sencilla puede beneficiar a los atacantes a la hora de robar códigos de desbloqueo de los dispositivos, pero también consiguen robar credenciales, contactos e incluso datos bancarios de los usuarios.
Existen muchos ejemplos de ataques de shoulder surfing, aunque el más común suele realizarse en el transporte público cuando los usuarios, sin tener noción de las personas que tienen a su alrededor, usan su teléfono móvil sin ninguna medida de cuidado.
Al estar distraídos, los usuarios suelen desbloquear su teléfono móvil para revisar su correo electrónico o cuentas bancarias desde sus aplicaciones o inician sus redes sociales poniendo sus contraseñas, entre otras situaciones. En caso de que el atacante logre acceder al móvil, podrá tener acceso al dispositivo, así como a las cuentas cuyas contraseñas estén guardadas en el teléfono.
Otra situación donde puede ocurrir el shoulder surfing, es con las llamadas telefónicas. Si un usuario recibe una llamada de un familiar o amigo que quiere realizar una compra a través de Internet y necesita su número de tarjeta bancaria, puede convertirse en una víctima cuando empiece a decir los datos, ya que el atacante podría escucharlos y utilizarlos más tarde.
Lo mismo ocurre al sacar dinero en un cajero automático, los usuarios también deben estar pendientes de que nadie los esté observando, ya que podrían conseguir el número PIN de la tarjeta bancaria.
¿Cómo protegerse del ‘shoulder surfing’?
Para evitar ser víctimas de ataques shoulder surfing, los usuarios deben seguir una serie de recomendaciones al hacer uso de herramientas o dispositivos electrónicos.
Según sugiere la Oficina de Seguridad del Internauta (OSI), una medida para proteger las credenciales es mediante el uso de un gestor de contraseñas, lo que complica al atacante adquirir las contraseñas, ya que están cifradas. Además, aconsejan que los usuarios deben evitar guardar las credenciales en las aplicaciones, servicios o navegadores para que la disposición sea efectiva.
Recomiendan que los usuarios deben añadir una capa de seguridad adicional a sus cuentas mediante la verificación en dos pasos, ya que, si el atacante adquiere tus credenciales, se enfrentará un elemento que sólo tú tienes para acceder a tus cuentas.
También es aconsejable que los usuarios eviten que otras personas puedan ver su pantalla y evitar compartir información personal. Otra medida de seguridad y protección de la información para los usuarios es cifrar el dispositivo para que los atacantes no puedan acceder a su contenido sin la clave necesaria para descifrarlo.
epc