Shoulder surfing: ¿un peligro tomado a la ligera?

Cuando uno piensa en hackers o ciberdelincuentes, se imagina nerds expertos en informática que programan malware o averiguan cómo conseguir acceso no autorizado a ordenadores ajenos para robar datos sensibles. No obstante, a menudo hay una manera más fácil de acceder a datos personales y contraseñas ajenas: el shoulder surfing es un método muy sencillo para espiar a víctimas que no sospechan lo más mínimo y robarles así contraseñas, códigos PIN u otros datos de acceso. Para saber qué es exactamente el shoulder surfing y cómo puedes protegerte de esta táctica de espionaje en público, sigue leyendo.

¿Qué es el shoulder surfing?

El shoulder surfing es una técnica que consiste en robar datos personales observando a la víctima en su uso diario de dispositivos electrónicos, como pueden ser cajeros automáticos,terminales de pago en comercios, portátiles o smartphones, es decir, mirando literalmente por encima del hombro.

La facilidad con la que este método permite robar datos en lugares públicos no es de extrañar si pensamos en cómo nos comportamos como usuarios: usamos regularmente nuestros móviles, tablets o portátiles en público y no somos particularmente cuidadosos a la hora de introducir contraseñas, códigos PIN, nombres de usuario u otros datos personales. Esto hace que a menudo, en lugares llenos de gente, podamos ser observados sin advertirlo. Quizá no te hayas percatado de que, mientras trabajas en ese café abarrotado al mediodía, sumido en tus pensamientos frente a tu portátil, hay alguien en la mesa de atrás que no solo puede ver perfectamente tu pantalla, sino que, además, presta mucha atención cuando introduces tus contraseñas.

Este tipo de delincuentes, los shoulder surfer, son capaces de recabar datos en muchas situaciones bajo la protección del anonimato de la esfera pública. Si, por ejemplo, introduces los datos de tu tarjeta de crédito en la página de una tienda online, un shoulder surfer podría leer los dígitos directamente en tu pantalla o, incluso, descifrarlos por los movimientos de tus dedos.

Tipo de delito y características del shoulder surfing

El shoulder surfing es un método de ingeniería social o social engineering, es decir, una de las prácticas cuyo objetivo es acceder a información confidencial mediante la manipulación de personas en el mundo real. Existen dos maneras principales de llevar a cabo el shoulder surfing:

Por un lado, están los ataques que pretenden obtener datos mediante una observación directa. Se trata de los casos en los que se observa a la víctima directamente por encima del hombro cuando se dispone, por ejemplo, a introducir su PIN personal para pagar con tarjeta en la caja.

La segunda variante consiste en grabar en vídeo a las víctimas en primer lugar. Así, los delincuentes pueden analizar luego exhaustivamente los vídeos y extraer la información que buscan. Hoy en día, las grabaciones en vídeo permiten reconocer códigos PIN para desbloquear dispositivos móviles, por ejemplo, incluso si la pantalla en sí no se ve en el vídeo: los movimientos de los dedos bastan para revelar el código de acceso.

Nota

La idea de robar datos mirando por encima del hombro existía mucho antes de que llegaran Internet y los smartphones: ya en los años 80, los delincuentes copiaban los números de las tarjetas telefónicas usadas en las cabinas para realizar luego llamadas internacionales a expensas de la víctima o para revender luego las tarjetas a un precio más bajo.

¿Qué puede traer consigo el shoulder surfing?

En cuanto un ladrón consigue los datos personales de una víctima, puede usarlos para suplantar su identidad y así comprar, sacar dinero o realizar otras transacciones en su nombre. En España, de hecho, la suplantación de identidad en Internet y el robo de datos de acceso ya acarrean penas que van desde una multa hasta un par de años en prisión.

Además de los perjuicios a nivel personal que puede causar el shoulder surfing, también hay que considerar los daños graves que puede causar a las empresas: si trabajas en lugares públicos e introduces, sin pensarlo demasiado, tus datos de acceso a aplicaciones, al servidor o a una cuenta de correo electrónico, se lo estás poniendo en bandeja a los delincuentes y estás poniendo en peligro, además, la seguridad de los datos de tus clientes, compañeros o trabajadores.

Medidas de protección: ¿cómo se puede evitar el shoulder surfing?

Lo primordial es ser especialmente cuidadoso al utilizar cualquier tipo de identificación digital en público, ya sea profesional o personal. En concreto, se puede aumentar considerablemente la seguridad de los datos si se dominan un par de trucos.

Protección contra el shoulder surfing: consejos para introducir el PIN

A la hora de pagar con tarjetas de crédito o débito, algunas medidas que han demostrado ser especialmente eficaces para hacer más segura la introducción del PIN son las siguientes:

Consejo 1. La recomendación general es tapar el teclado del terminal con la otra mano mientras se teclea el PIN.

Consejo 2. Para sacar dinero, es una buena idea comprobar las piezas del cajero automático antes de introducir la tarjeta, por si hubiera alguna suelta o que pareciese añadida de forma sospechosa. Podría ser, por ejemplo, que se hubiera introducido un segundo lector de tarjetas sobre el lector auténtico. Este lector añadido se encargaría de leer la banda magnética y guardar así los datos de la tarjeta.

Consejo 3. Otra posibilidad es utilizar, sencillamente, los métodos de pago sin contacto, que no requieren la introducción de ningún código PIN y, por lo tanto, no permiten que se roben datos sensibles mediante el clásico método del shoulder surfing.

Protección contra el shoulder surfing al introducir datos sensibles en general

Si no puedes evitar introducir datos sensibles en tu ordenador, tablet o smartphone en público, te recomendamos que implementes las siguientes medidas de seguridad:

Consejo 1. Antes de introducir los datos, busca el lugar más adecuado: con la espalda contra la pared, por ejemplo, puedes librarte de miradas indeseadas.

Consejo 2. También se aconseja el uso de filtros de privacidad. Se trata deláminas de plástico que, colocadas sobre la pantalla, hacen que se vea negra si se mira desde un ángulo que no sea frontal. Con ellos, leer la pantalla de forma furtiva se vuelve bastante más difícil.

Consejo 3. Aplicando una autenticación de dos factores, el usuario debe probar su identidad mediante dos componentes independientes. Puesto que el acceso entonces solo se concede si se han introducido ambos datos correctamente y durante cierto periodo de tiempo, el nivel de protección aumenta considerablemente. Este método se utiliza a menudo, por ejemplo, en banca online, un ámbito en el que la identificación suele consistir en la combinación de una contraseña (primer factor) y un número TAN (segundo factor), que se genera nuevamente con cada acceso.

Consejo 4: Otra forma de protegerse es utilizar un gestor de contraseñas. Con este tipo de gestores, ya no tienes que introducir la contraseña correspondiente cada vez que quieras acceder a una cuenta, sino que el gestor se encarga de ello y solo pide, como autenticación, una contraseña maestra. De esta manera, si alguien estuviese espiando lo que tecleas, no podría deducir las contraseñas reales de las cuentas, siempre y cuando protejas tu contraseña maestra con las medidas necesarias.