Cuando se piensa en un hacker, puedes pensar en un ciberdelincuente estereotípico sentado en su sótano atacando de forma remota a organizaciones y servidores para obtener acceso no autorizado a los sistemas. Sin embargo, este no es siempre el caso, ya que la mayoría de las personas parecen pasar por alto una preocupación de seguridad muy básica, ¡el shoulder surfing!
Hay muchas formas diferentes de robar una contraseña. Podemos pensar que todas ellas requieren conocimientos técnicos o, en el mejor de los casos, un ordenador conectado a Internet. Eso no es estrictamente cierto. Con una técnica, todo lo que necesita hacer para robar información bastante importante es un buen ojo y una víctima que no está prestando atención.
El shoulder surfing es técnicamente otra forma de piratería, ya que permite a los usuarios «obtener acceso no autorizado a los datos en un sistema o una computadora» … Pero no todos lo tratan como un ataque a gran escala en el que uno se abre paso de forma remota a sus datos.
Analizaremos aquí en qué consiste el shoulder surfing y cómo prevenirlo.
Indice
¿Qué es el Shoulder Surfing?
Esta técnica implica literalmente mirar por encima del hombro de la víctima para obtener una contraseña u otro dato confidencial.
Hay otras variaciones del ataque. Los malhechores determinados pueden robar contraseñas y otros datos a una distancia significativa también con la ayuda de binoculares o equipos de filmación costosos, por ejemplo, y en una variante especialmente de James Bond, los malvados incluso utilizan la tecnología de seguimiento ocular para adivinar qué su contraseña es al examinar qué botones del teclado en pantalla se pulsan.
Es decir, es el acto de mirar sobre el hombro de alguien mientras está trabajando en su ordenador. Durante este tiempo, puede ver qué contraseñas ingresan, cómo está configurada su red y qué archivos confidenciales tiene en su ordenador.
Ya no necesita keyloggers sofisticados y costosos ni gastar miles de dólares en implementar malware en sitios web, solo tiene que vigilar por encima de sus hombros y ver qué escriben.
Posibilidad de sufrir un ataque de shoulder surfing
Cada persona tiene su modelo de amenaza, y este modelo de amenaza se compone de muchos factores diferentes, como el trabajo de la persona, su situación financiera y si hay otras personas que quieran dañarla o no.
La probabilidad de ser el objetivo de un ataque de navegación en el hombro depende en gran medida de su modelo de amenaza. Veamos algunos ejemplos.
Es posible que hayas oído hablar de un tal Edward Snowden, un especialista en informática que solía trabajar para la NSA. Hace varios años, hizo sonar el silbido proverbial y avergonzó a algunos gobiernos, por lo que actualmente reside en Rusia. A muchas personas les gustaría traerlo de regreso a los Estados Unidos, y no les importaría tener todas sus contraseñas también. En otras palabras, es muy probable que el Sr. Snowden sea blanco de ataques de shoulder surfing, por lo que podemos imaginar que no usa mucho el transporte público. Y cuando fue entrevistado para un documental llamado Citizenfour, se cubrió la cabeza y el ordenador portátil con una manta cuando ingresó su contraseña, asegurándose de que nadie vea lo que está escribiendo o mirando.
En el otro extremo de la escala, tienes a Muriel, un pensionista de 69 años que tiene un ordenador viejo que no ha encendido en mucho tiempo y un teléfono con función en un plan prepago. Es justo decir que es la última persona en la que el gobierno establecería vigilancia, e incluso los surfistas que buscan víctimas al azar no estarán tan interesados en ella.
Con toda probabilidad, su modelo de amenaza se encuentra en algún punto intermedio entre Edward Snowden y Muriel.
Ser un usuario activo de Internet y tener una tarjeta bancaria protegida con PIN significa que los delincuentes pueden beneficiarse de sus datos confidenciales, pero al mismo tiempo, es poco probable que sea el objetivo de una operación a gran escala realizada por este tipo de delincuentes.
Esto significa que aunque probablemente no necesites una manta cada vez que enciendes tu ordenador portátil, tener cuidado con el peligro es una buena decisión.
¿Cómo evitar el shoulder surfing?
Evitar los ataques de shoulder surfing en una organización requiere esfuerzos concertados de concientización de seguridad cibernética para cambiar el comportamiento. Sin embargo, a nivel individual, es posible seguir estos consejos para reducir drásticamente las posibilidades de ser víctima del shoulder surfing:
Instalar un filtro de privacidad
Una forma de evitar estos ataques sería instalar un dispositivo en su pantalla llamado filtro de privacidad. La mayoría de la gente tiende a pensar que esta es una forma de programa o software que está instalado en su máquina, pero en cambio, es casi como un protector de pantalla como el que aplicaría a su teléfono.
Los filtros de privacidad están hechos de láminas de plástico polarizadas que eliminan toda la visibilidad de la pantalla, excepto los usuarios que se sientan directamente frente a la pantalla. Todo lo que un shoulder surfer vería es una pantalla negra, así que tenga la seguridad de que solo pueden ver su dispositivo si están sentados en su lugar, lo que debería ser fácil de detectar.
Siéntate lejos de las personas o forma una barrera física.
Si no quieres instalar un filtro de privacidad, también debes tener en cuenta inclinar la pantalla lejos de las personas que estén a tu lado para que no tengan una línea de visión fácil de su contenido. También es posible que desees crear una barrera física, como carpetas, carpetas o cualquier otro objeto para negar la línea de visión.
Otro consejo útil es evitar trabajar en zonas abarrotadas. Trata de abstenerte de trabajar en cafeterías, aeropuertos, vestíbulos de hoteles y otros espacios públicos muy populares. Todos estos lugares te convierten en un blanco fácil y hace que el shoulder surfer pueda trabajar más fácilmente.
Utiliza un administrador de contraseñas
A los delincuentes les gusta verte ingresar contraseñas o seguir tus pulsaciones de teclas cuando estás en una página sensible.
Pero, ¿cómo puedes evitar que sus ojos sigan las credenciales que ingresas? Una solución popular para almacenar contraseñas sería un administrador de contraseñas. Usando uno de esos, ya no tendrás que ingresar manualmente tu contraseña ya que los campos se completan automáticamente. Di adiós a los observadores clave ya que ya no tendrá que ingresar su información.
Siempre asume que estás en el punto de mira. No digo que seas paranoico en público todo el tiempo, pero imagina que todos tus movimientos mientras estás en una computadora están siendo grabados. Te ayudará a ser más precavido con lo que haces en tu dispositivo para evitar este tipo de ataques.
Usar autenticación de dos factores
También recomendamos tener alguna forma de configuración de autenticación de dos factores en todas tus cuentas. Por lo tanto, si logran espiar tu contraseña o detalles de inicio de sesión, aún necesitarán tu dispositivo móvil u otro dispositivo externo para aprobar el inicio de sesión.
Un informe muestra que la nueva tecnología ha progresado hasta el punto de que se puede implementar una ilusión óptica en los inicios de sesión de teléfonos inteligentes que pueden frustrar fácilmente los planes de un shoulder surfer.
Con las nuevas tecnologías, al manipular la frecuencia espacial y varias imágenes, puede engañarse a las personas para que vean diferentes imágenes dependiendo de su distancia del dispositivo. Por lo tanto, puede ver a alguien ingresando «1234» como su pin, pero a medida que la aplicación aleatoriza el orden para cada intento de inicio de sesión más la imagen diferente, probablemente ingresó algo completamente diferente a lo que piensa.
En conclusión, el shoulder surfing puede ser extremadamente efectivo y un método mucho más barato para obtener información confidencial. Aunque es difícil de detectar, se pueden disuadir si tienes en cuenta estos consejos.
Otras medidas de protección
Otras formas de protección son:
- Siéntate de espaldas a la pared si estás en un lugar público e ingresas información personal o financiera en tu ordenador o teléfono móvil. Usa VPN si realizas transacciones financieras con Wi-Fi.
- Protege el teclado del cajero automático cuando ingreses tu PIN.
- Asegúrate de que tu transacción en el cajero automático esté completa y coge el recibo.
- Elige contraseñas seguras para que sea difícil para cualquier observador adivinar lo que has escrito.
- Bloquea la pantalla de tu ordenador en el trabajo cuando salgas del escritorio.
- Encuentra un lugar privado cuando necesites compartir información financiera por teléfono.
Ejemplos
Es viernes por la tarde. Lo único que se interpone entre ti y el fin de semana es una larga cola en el cajero automático. Esperas. Finalmente, es tu turno. Tocas tu número PIN mientras el autobús a tu casa aparece a la vuelta de la esquina. Presionas la tecla, coges el dinero y corres a la parada del autobús. ¡Lo hiciste! Más tarde, descubres que se han retirado 400 euros más de tu cuenta bancaria.
Esa persona en la fila que estaba detrás de ti, probablemente no te diste cuenta si era un hombre o una mujer, resultó ser un shoulder surfer. Mientras corrías hacia el autobús, el cajero automático te dejó un mensaje en la pantalla: «¿Le gustaría hacer otra transacción?»
¿Que pasó? Esa persona que fue la siguiente en la cola presionó la tecla «sí», ingresó tu número PIN y te robó tu dinero.
Es fácil ser víctima del shoulder surfing. A menudo, sucede cuando estás distraído o tienes prisa. Hay una buena posibilidad de que estés en un lugar público lleno de gente.
Un ladrón involucrado en este crimen de baja tecnología quizás ni siquiera tenga que mirar por encima del hombro. Los binoculares o la cámara de vídeo de un teléfono móvil, o incluso un oído atento, pueden capturar la información necesaria para acceder a tus finanzas.
Aquí hay otras tres formas en que los surfistas de hombro pueden atacar:
- Estás en el aeropuerto, sentado en una terminal repleta esperando tu vuelo. Tu hijo te llama por algo que quiere comprar en línea. Error: Le lees el número de tu tarjeta de crédito en voz alta.
- Te relajas en una cafetería para tomar una taza de café y pagar tus facturas. Compartes una mesa, tomas asiento y abres tu ordenador portátil. Inicias sesión en tu banco con tu nombre de usuario y contraseña y haces clic en pagar. Error: has puesto la información clave a la vista.
- Es tu primer día en el trabajo. Te sientas en tu puesto. Te sumerges en tu papeleo, registrándote en tu ordenador. Introduces todo tipo de información personal: nombre, dirección, número de Seguro Social, cuenta bancaria, número de teléfono. Error: Media docena de compañeros de trabajo pueden ver lo que estás haciendo.
Practica hábitos inteligentes y eso te ayudará a evitar ataques de shoulder surfing que provoquen pérdidas financieras. El shoulder surfing es un deporte peligroso, si eres la víctima.