Cuando uno piensa en hackers o ci­be­r­de­li­n­cue­n­tes, se imagina nerds expertos en in­fo­r­má­ti­ca que programan malware o averiguan cómo conseguir acceso no au­to­ri­za­do a or­de­na­do­res ajenos para robar datos sensibles. No obstante, a menudo hay una manera más fácil de acceder a datos pe­r­so­na­les y co­n­tra­se­ñas ajenas: el shoulder surfing es un método muy sencillo para espiar a víctimas que no sospechan lo más mínimo y robarles así co­n­tra­se­ñas, códigos PIN u otros datos de acceso. Para saber qué es exac­ta­me­n­te el shoulder surfing y cómo puedes pro­te­ge­r­te de esta táctica de espionaje en público, sigue leyendo.

¿Qué es el shoulder surfing?

El shoulder surfing es una técnica que consiste en robar datos pe­r­so­na­les ob­se­r­va­n­do a la víctima en su uso diario de di­s­po­si­ti­vos ele­c­tró­ni­cos, como pueden ser cajeros au­to­má­ti­cos, te­r­mi­na­les de pago en comercios, po­r­tá­ti­les o sma­r­t­pho­nes, es decir, mirando li­te­ra­l­me­n­te por encima del hombro.

La facilidad con la que este método permite robar datos en lugares públicos no es de extrañar si pensamos en cómo nos co­m­po­r­ta­mos como usuarios: usamos re­gu­la­r­me­n­te nuestros móviles, tablets o po­r­tá­ti­les en público y no somos pa­r­ti­cu­la­r­me­n­te cui­da­do­sos a la hora de in­tro­du­cir co­n­tra­se­ñas, códigos PIN, nombres de usuario u otros datos pe­r­so­na­les. Esto hace que a menudo, en lugares llenos de gente, podamos ser ob­se­r­va­dos sin ad­ve­r­ti­r­lo. Quizá no te hayas percatado de que, mientras trabajas en ese café aba­rro­ta­do al mediodía, sumido en tus pe­n­sa­mie­n­tos frente a tu portátil, hay alguien en la mesa de atrás que no solo puede ver pe­r­fe­c­ta­me­n­te tu pantalla, sino que, además, presta mucha atención cuando in­tro­du­ces tus co­n­tra­se­ñas.

Este tipo de de­li­n­cue­n­tes, los shoulder surfer, son capaces de recabar datos en muchas si­tua­cio­nes bajo la pro­te­c­ción del anonimato de la esfera pública. Si, por ejemplo, in­tro­du­ces los datos de tu tarjeta de crédito en la página de una tienda online, un shoulder surfer podría leer los dígitos di­re­c­ta­me­n­te en tu pantalla o, incluso, de­s­ci­frar­los por los mo­vi­mie­n­tos de tus dedos.

Tipo de delito y ca­ra­c­te­rí­s­ti­cas del shoulder surfing

El shoulder surfing es un método de in­ge­nie­ría social o social en­gi­nee­ri­ng, es decir, una de las prácticas cuyo objetivo es acceder a in­fo­r­ma­ción co­n­fi­de­n­cial mediante la ma­ni­pu­la­ción de personas en el mundo real. Existen dos maneras pri­n­ci­pa­les de llevar a cabo el shoulder surfing:

Por un lado, están los ataques que pretenden obtener datos mediante una ob­se­r­va­ción directa. Se trata de los casos en los que se observa a la víctima di­re­c­ta­me­n­te por encima del hombro cuando se dispone, por ejemplo, a in­tro­du­cir su PIN personal para pagar con tarjeta en la caja.

La segunda variante consiste en grabar en vídeo a las víctimas en primer lugar. Así, los de­li­n­cue­n­tes pueden analizar luego exhau­s­ti­va­me­n­te los vídeos y extraer la in­fo­r­ma­ción que buscan. Hoy en día, las gra­ba­cio­nes en vídeo permiten reconocer códigos PIN para de­s­blo­quear di­s­po­si­ti­vos móviles, por ejemplo, incluso si la pantalla en sí no se ve en el vídeo: los mo­vi­mie­n­tos de los dedos bastan para revelar el código de acceso.

Nota

La idea de robar datos mirando por encima del hombro existía mucho antes de que llegaran Internet y los sma­r­t­pho­nes: ya en los años 80, los de­li­n­cue­n­tes copiaban los números de las tarjetas te­le­fó­ni­cas usadas en las cabinas para realizar luego llamadas in­te­r­na­cio­na­les a expensas de la víctima o para revender luego las tarjetas a un precio más bajo.

¿Qué puede traer consigo el shoulder surfing?

En cuanto un ladrón consigue los datos pe­r­so­na­les de una víctima, puede usarlos para suplantar su identidad y así comprar, sacar dinero o realizar otras tra­n­sac­cio­nes en su nombre. En España, de hecho, la su­pla­n­ta­ción de identidad en Internet y el robo de datos de acceso ya acarrean penas que van desde una multa hasta un par de años en prisión.

Además de los pe­r­jui­cios a nivel personal que puede causar el shoulder surfing, también hay que co­n­si­de­rar los daños graves que puede causar a las empresas: si trabajas en lugares públicos e in­tro­du­ces, sin pensarlo demasiado, tus datos de acceso a apli­ca­cio­nes, al servidor o a una cuenta de correo ele­c­tró­ni­co, se lo estás poniendo en bandeja a los de­li­n­cue­n­tes y estás poniendo en peligro, además, la seguridad de los datos de tus clientes, co­m­pa­ñe­ros o tra­ba­ja­do­res.

Medidas de pro­te­c­ción: ¿cómo se puede evitar el shoulder surfing?

Lo pri­mo­r­dial es ser es­pe­cia­l­me­n­te cuidadoso al utilizar cualquier tipo de ide­n­ti­fi­ca­ción digital en público, ya sea pro­fe­sio­nal o personal. En concreto, se puede aumentar co­n­si­de­ra­ble­me­n­te la seguridad de los datos si se dominan un par de trucos.

Pro­te­c­ción contra el shoulder surfing: consejos para in­tro­du­cir el PIN

A la hora de pagar con tarjetas de crédito o débito, algunas medidas que han de­mo­s­tra­do ser es­pe­cia­l­me­n­te eficaces para hacer más segura la in­tro­du­c­ción del PIN son las si­guie­n­tes:

Consejo 1. La re­co­me­n­da­ción general es tapar el teclado del terminal con la otra mano mientras se teclea el PIN.

Consejo 2. Para sacar dinero, es una buena idea comprobar las piezas del cajero au­to­má­ti­co antes de in­tro­du­cir la tarjeta, por si hubiera alguna suelta o que pareciese añadida de forma so­s­pe­cho­sa. Podría ser, por ejemplo, que se hubiera in­tro­du­ci­do un segundo lector de tarjetas sobre el lector auténtico. Este lector añadido se en­ca­r­ga­ría de leer la banda magnética y guardar así los datos de la tarjeta.

Consejo 3. Otra po­si­bi­li­dad es utilizar, se­n­ci­lla­me­n­te, los métodos de pago sin contacto, que no requieren la in­tro­du­c­ción de ningún código PIN y, por lo tanto, no permiten que se roben datos sensibles mediante el clásico método del shoulder surfing.

Pro­te­c­ción contra el shoulder surfing al in­tro­du­cir datos sensibles en general

Si no puedes evitar in­tro­du­cir datos sensibles en tu ordenador, tablet o sma­r­t­pho­ne en público, te re­co­me­n­da­mos que im­ple­me­n­tes las si­guie­n­tes medidas de seguridad:

Consejo 1. Antes de in­tro­du­cir los datos, busca el lugar más adecuado: con la espalda contra la pared, por ejemplo, puedes librarte de miradas in­de­sea­das.

Consejo 2. También se aconseja el uso de filtros de pri­va­ci­dad. Se trata de láminas de plástico que, colocadas sobre la pantalla, hacen que se vea negra si se mira desde un ángulo que no sea frontal. Con ellos, leer la pantalla de forma furtiva se vuelve bastante más difícil.

Consejo 3. Aplicando una au­te­n­ti­ca­ción de dos factores, el usuario debe probar su identidad mediante dos co­m­po­ne­n­tes in­de­pe­n­die­n­tes. Puesto que el acceso entonces solo se concede si se han in­tro­du­ci­do ambos datos co­rre­c­ta­me­n­te y durante cierto periodo de tiempo, el nivel de pro­te­c­ción aumenta co­n­si­de­ra­ble­me­n­te. Este método se utiliza a menudo, por ejemplo, en banca online, un ámbito en el que la ide­n­ti­fi­ca­ción suele consistir en la co­m­bi­na­ción de una co­n­tra­se­ña (primer factor) y un número TAN (segundo factor), que se genera nue­va­me­n­te con cada acceso.

Consejo 4: Otra forma de pro­te­ge­r­se es utilizar un gestor de co­n­tra­se­ñas. Con este tipo de gestores, ya no tienes que in­tro­du­cir la co­n­tra­se­ña co­rre­s­po­n­die­n­te cada vez que quieras acceder a una cuenta, sino que el gestor se encarga de ello y solo pide, como au­te­n­ti­ca­ción, una co­n­tra­se­ña maestra. De esta manera, si alguien estuviese espiando lo que tecleas, no podría deducir las co­n­tra­se­ñas reales de las cuentas, siempre y cuando protejas tu co­n­tra­se­ña maestra con las medidas ne­ce­sa­rias.

Ir al menú principal