Es algo que en algún momento le pasó a casi todo el mundo. Viajando en transporte público, al usar un cajero automático o solamente usando el celular alguien se acerca demasiado para espiar lo que están haciendo. ¿El problema? Podrían estar intentando robarnos información sensible.
Aunque pueda parecer una picardía o solamente una persona muy chisma, podría tratarse de un método de ingeniería social llamado “shoulder surfing” utilizado por atacantes que miran por encima del hombro cuando los s utilizan un dispositivo electrónico para obtener información valiosa, como contraseñas, un PIN de un cajero automático o el correo electrónico.
Sí, aunque parezca demasiado sencilla le puede servir a los delincuentes para robar códigos de desbloqueo de los dispositivos, pero también permite robar credenciales, os e incluso datos bancarios de los s. Por algo en los cajeros automáticos siempre recomiendan prestar atención a cualquier persona que tengamos detrás.
Existen diversos ejemplos de ataques de “shoulder surfing”, aunque el más común puede llevarse a cabo en el transporte público cuando los s, sin darse cuenta de las personas que tienen alrededor, utilizan su teléfono móvil sin ningún tipo de cuidado.
De esta forma, los s desbloquean el dispositivo, revisan su correo electrónico o sus cuentas bancarias desde la aplicación móvil o inician sesión en sus redes sociales poniendo sus contraseñas, entre otras cosas. Si el atacante logra hacerse con el celular, puede tener al dispositivo, así como a las cuentas cuyas contraseñas estén guardadas en el teléfono.
Otro ejemplo es el de las llamadas telefónicas. Si un recibe una llamada de una persona a la que conoce que quiere realizar una compra a través de Internet y necesita su número de tarjeta bancaria, puede convertirse en una víctima de “shoulder surfing” en el momento en el que empiece a decir los datos, ya que el atacante podría escucharlos y utilizarlos más tarde.
Asimismo, al sacar dinero en un cajero automático, los s también deben estar pendientes de que nadie esté observando lo que hacen, ya que podrían hacerse con el número PIN de la tarjeta bancaria.
Por ello, los s deben seguir una serie de pautas, así como hacer uso de herramientas para evitar ser víctimas de ataques “shoulder surfing”.
Según aconseja la Oficina de Seguridad del Internauta (OSI) de España, una forma de proteger las credenciales es mediante el uso de un gestor de contraseñas, lo que complica al atacante hacerse con esta información sensible, ya que está cifradas. Además, los s deben evitar guardar las credenciales en las aplicaciones, servicios o navegadores para que la medida sea efectiva.
También se recomienda que los s agreguen una capa de seguridad adicional a sus cuentas mediante la verificación en dos pasos, ya que en caso de que el atacante se haga con sus credenciales, necesitará otro elemento que sólo los s tendrán para acceder a sus cuentas.
También es aconsejable que la gente evite que otras personas puedan tener visión de la pantalla e intentar no compartir información personal.
Otra medida de seguridad y protección de la información de los s es cifrar el dispositivo para que los atacantes no puedan acceder a su contenido sin la clave necesaria para desbloquearlo.
