Ingeniería social: ¿qué es el Shoulder Surfing?

shoulder surfing social engineering attack

Tabla de contenidos

Comparte el artículo:

qué es el Shoulder Surfing

El término «shoulder surfing» (que en español sería «mirar por encima del hombro» o «espiar por encima del hombro») es la práctica de robar información delicada mirando por sobre el hombro de otra persona mientras está tecleando la información en el dispositivo.

¿Qué es el shoulder surfing?

Usted está en un autobús leyendo el periódico o mirando algo en su pantalla, y de repente detecta una presencia con el rabillo del ojo. Usted se voltea y ve que la persona que tiene detrás se retira rápidamente. Estaba espiándole por encima del hombro. Es decir, intentó hacerle «shoulder surfing».

Ha sido algo bastante maleducado de hacer, pero la verdad es que no es ilegal. Ahora, si usted estuviese, digamos, tecleando algo como una contraseña y la persona hubiese estado observándole, entonces ese bien podría haber sido el primer paso de un robo de identidad.

Como modalidad de ingeniería social, el shoulder surfing ocurre cuando un tercero mira por sobre el hombro de la víctima para ver la información que está tecleando en un telecajero, una portátil, un smartphone, etc.

Ejemplos de shoulder surfing

Por lo general, ocurre en lugares abarrotados. Es entonces cuando resulta fácil para una persona el ponerse detrás de otra y dar un vistazo sobre su hombro. Sin embargo, también se puede hacer desde una cierta distancia usando binoculares.

Revisemos algunos escenarios hipotéticos de shoulder surfing.

Escenario 1:

Usted está en el aropuerto y tiene prisa por hacer el «check-in». Pero antes, se da cuenta de que tiene que sacar un poco de efectivo. Entonces, da una carrera al telecajero más cercano, mete su PIN, saca 100 euros y sale corriendo a la puerta de embarque.

Mientras espera por el abordaje, recibe una notificación en el móvil. Resulta que alguien acaba de retirar $500 de su tarjeta.

¿Cuál fue el error? Con las prisas, no se dió cuenta de que tenía una persona a menos de un metro del telecajero. Además, usted no se llevó el recibo ni se aseguró de que la transacción hubiese finalizado.

Por cierto, aquí le indicamos algunos consejos para proteger sus dispositivos al viajar y para proteger sus datos al cruzar fronteras.

Escenario 2:

Esta vez, usted se encuentra en un café. El único asiento disponible era en el bar. Usted lo toma y abre su portátil para pagar unas facturas pendientes. La gente le tropieza, pero usted no presta atención porque está enfocado en iniciar sesión en su banca electrónica.

Entretanto, pide un café en el bar. Mientras paga, desvía su atención (momentáneamente) de su portátil para darle el dinero al barman. Y acto seguido, su mirada regresa a la pantalla mientras da un sorbo al café.

¿Cuál fue el error? Pues que no prestó atención a sus alrededores e introdujo su nombre de usuario y contraseña a plena vista. Después se distrajo lo suficiente como para que alguien le viera teclear su información de inicio de sesión en la pantalla.

Escenario 3:

Está en el autobús y su cónyuge le llama. Necesita pagar algo con su tarjeta pero no recuerda el PIN, así que se lo pide.

Usted responde: «3-5-1-6. ¿lo has pillado? Vale, adiós».

Sí, lo ha pillado… y también la docena o más de pasajeros que comparten el autobús con usted. Si estaban prestando atención, ahora tienen su PIN.

¿Cuál fue el error? El «shoulder surfing» no solo se limita a «mirar» sobre el hombro de alguien para ver qué teclas pulsa. También se puede hacer con tan solo escuchar en situaciones como estas. Al decir su PIN en voz alta, lo ha hecho público.

Por supuesto, si cualquier otra persona le llama o envía un SMS pidiéndole que revele información delicada por teléfono, no lo haga. Esto se conoce como vishing y smishing, y ambos son tipos de ataques de ingeniería social.

¿Cómo evitar el shoulder surfing?

¿Cómo se evita el shoulder surfing? Aquí le ofrecemos algunos consejos:

  • En primer lugar, esté siempre atento a su entorno. Al estar en una cola en el telecajero, un café, aeropuerto, autobús, etc., eche una buena mirada a sus alrededores. Incluso ese pequeño detalle puede ser suficiente para desanimar a la persona que quería espiarle y «espantarlos» del lugar, o al menos generarles dudas de que puedan lograrlo sin ser detectados.
  • Cuando use el telecajero, proteja siempre el teclado al ingresar su PIN. Inclínese sobre este para bloquear la visión a cualquier potencial «interesado».
  • Y cada vez que use un telecajero, asegúrese de seleccionar la opción «Salir» cuando se le pregunte «¿Quiere hacer otra transacción? y tome el recibo. Algunos telecajeros no necesitan que la tarjeta esté dentro de la máquina al hacer transacciones adicionales, así que el «espía» puede simplemente acercarse justo después de que usted se vaya y reintroducir el PIN para robarle un poco de dinero.
  • Si está en un espacio público, como una cafetería, y necesita introducir información financiera, hágalo de espaldas a una pared.
  • Si necesita compartir información delicada por teléfono, hágalo lejos del alcance de potenciales curiosos. Mejor todavía, envíeles información mediante un mensaje desde el móvil.
  • No deje su portátil sin supervisión. Si necesita retirarse rápidamente (para ir al baño o al escritorio de un colega, por ejemplo) asegúrese de bloquear la pantalla y cerrar el portátil. Por supuesto, si se encuentra en un espacio público, no deje su portátil sin supervisión, porque alguien podría quitársela mientras usted no está.
  • Use autenticación biométrica en vez de PIN y contraseñas. Muchos dispositivos modernos le permiten iniciar sesión y acceder a sus datos usando huellas digitales o reconocimiento facial. Es algo de lo que el «mirón» no puede aprovecharse. La 2FA es una manera de evitar que nadie más que usted acceda a sus cuentas, incluso con su contraseña.
  • Use pagos «contactless». De nuevo, en vez de introducir un PIN, use aplicaciones «contactless» siempre que sea posible. Recuerde, la mejor manera de ocultar su PIN es no tener que usarlo en absoluto.
  • Oculte las contraseñas al escribirlas. Si necesita introducir una contraseña para iniciar sesión en una cuenta, asegúrese de que el campo de contraseña se llene de asteriscos, de la siguiente manera: «*******».
Shoulder surfing
  • Use un protector de pantalla. Cuando se habla de protectores de pantalla, la mayoría de la gente piensa en esas láminas que se colocan sobre la pantalla del móvil para evitar que se arañe. Sin embargo, algunos se pueden usar para ocultar lo que esté en su pantalla y proteger su información, así que son una herramienta interesante para tener.
cómo evitar el Shoulder Surfing

Conclusión

No todos los ataques de ingeniería social precisan de artimañas elaboradas para lograr que usted revele sus datos delicados, como los de baiting o de quid pro quo.

A veces, lo único que hace falta es no prestar la debida atención a sus alrededores, un momento de distracción, o revelar verbalmente el PIN a alguien por teléfono.

El shoulder surfing no requiere tanto enfoque en proteger sus datos de los hackers online, sino en protegerlos de personas físicamente cercanas.

Dele un vistazo a nuestros 6 consejos para proteger su privacidad online, y no olvide proteger sus dispositivos y sus datos. ¡Y no dude en consultar nuestro curso de privacidad y seguridad para descubrir cómo defenderse de la ingeniería social!

Compartir este artículo
Recupera la privacidad de tu correo.

Cree hoy mismo su correo electrónico gratuito y seguro.

Picture of Patrick De Schutter

Patrick De Schutter

Patrick es cofundador de Mailfence. Ha sido emprendedor en serie e inversor en startups desde 1994 y ha lanzado varias empresas pioneras en Internet, como Allmansland, IP Netvertising o Express.be. Es un firme creyente y defensor de la encriptación y la privacidad. Puede seguir a @pdeschutter en Twitter y LinkedIn.

Recomendado para usted