Log in
Sign up

Shoulder Surfing al descubierto: El truco más sencillo que utilizan los hackers para robar sus datos

Picture of Simon Haven

Simon Haven

Simon Haven

shoulder surfing social engineering attack

Tabla de contenidos

Comparte el artículo:

Imagine que está en una cafetería, tecleando su contraseña bancaria o respondiendo a un correo electrónico. Detrás de usted, alguien está haciendo «shoulder surfing», es decir, robando silenciosamente cada pulsación de tecla. Sin herramientas de hacking, sólo con ojos avispados y malas intenciones. En cuestión de minutos, el hacker se hace con sus datos privados.

En un mundo en el que una contraseña robada puede vaciar cuentas y secuestrar identidades, el shoulder surfing es una de las amenazas más evidentes pero más ignoradas. ¿Y lo peor? Ni siquiera sabrá que le han robado sus datos, hasta que sea demasiado tarde.

En esta guía, cubriremos todo lo que necesita saber sobre el shoulder surfing, incluyendo:

  • Qué es realmente el shoulder surfing.
  • Cómo detectar y prevenir los ataques de shoulder surfing.
  • Qué puede hacer para proteger sus dispositivos.

Exploremos.

Mailfence - Obtenga su email seguro y gratuito.

4,1 basado en 177 opiniones de usuarios

Registrarse

Mailfence - Obtenga su email seguro y gratuito.

Registrarse

4.1 basado en 177 opiniones de usuarios

¿Qué es el shoulder surfing?

Lo primero es lo primero, definamos el shoulder surfing (que en inglés significa, literalmente, «surfear sobre el hombro»).

Como su nombre sugiere, el shoulder surfing es la práctica de robar información delicada mirando por encima del hombro de otra persona.

Esto podría ser, por ejemplo, mientras usted:

  • Introduce el PIN de su iPhone en el autobús para consultar sus correos electrónicos.
  • Introduce el número de su tarjeta de crédito en el tren para realizar una compra online.
  • Introduce el PIN de su tarjeta de débito en un cajero automático para sacar dinero.

Técnicamente hablando, mirar por encima del hombro no es ilegal. Sin embargo, es el primer paso hacia el robo de identidad y el fraude financiero. Por eso es crucial comprender los escenarios en los que puede ocurrir, y cómo puede protegerse.

Una de las principales diferencias entre el shoulder surfing y el phishing o baiting es que el shoulder surfing ocurre en el mundo físico.

Por lo tanto, los métodos de defensa serán muy diferentes del phishing, por ejemplo, en el que necesitaría un potente filtro antispam.

Ejemplos de Shoulder Surfing

Desgraciadamente, no hay muchos casos documentados y de alto perfil de shoulder surfing. Esto se debe a que los ataques de shoulder surfing no dejan un rastro digital como los ataques de scareware.

El principal estudio sobre el tema se titula «Understanding Shoulder Surfing in the Wild: Stories from Users and Observers» (En español «Comprender el Shoulder Surfing en la naturaleza: Historias de usuarios y observadores«) y fue realizado por la Universidad Ludwig Maximilian de Múnich (Alemania).

En este estudio, una encuesta realizada a 174 usuarios examinó escenarios reales de shoulder surfing. Los resultados concluyeron que la mayoría de los casos de shoulder surfing son oportunistas (es decir, no planificados), pero que hubo casos en los que se observó información delicada sin consentimiento.

Ejemplo de shoulder surfing, tomado del estudio LMU
Ejemplo de «shoulder surfing», tomado del estudio de la LMU

Es importante tener en cuenta que el shoulder surfing no es sólo una cuestión de seguridad, sino también de privacidad.

Además de una contraseña y un PIN, un curioso podría estar viendo información privada, como citas, fotos familiares, etc. Y aquí, en Mailfence, siempre hemos abogado por una privacidad sólida, ya sea online u offline.

En nuestra opinión, una sólida protección de la privacidad es fundamental para una sociedad libre y democrática. La privacidad es un derecho humano básico, y debemos protegerla a toda costa. Y esto incluye protegernos contra la navegación clandestina.

Veamos ahora algunos de los casos más comunes de shoulder surfing.

Retirada de efectivo en cajeros automáticos

Los cajeros automáticos son uno de los lugares más habituales donde pueden producirse ataques de shoulder surfing. Los estafadores pueden estar merodeando, esperando verle teclear su PIN.

Otra posibilidad es que utilicen pequeñas cámaras ocultas, o incluso que utilicen prismáticos.

Para protegerse de ello, colóquese siempre lo más cerca posible del cajero automático cuando introduzca su PIN. Utilice su segunda mano para ocultar su PIN. Y si ve a alguna persona sospechosa merodeando, elija otro cajero.

Transporte público

Si tiene un largo trayecto diario en tren o autobús, puede que tenga la costumbre de abrir el portátil y ponerse a trabajar.

Sin embargo, utilizar su portátil o smartphone en autobuses o trenes abarrotados suele exponer su pantalla a extraños cercanos.

Los atacantes pueden mirar discretamente por encima de su hombro para capturar credenciales de inicio de sesión, datos de pago o incluso mensajes privados. En el peor de los casos, un ciberdelincuente en un tren podría memorizar su PIN bancario y utilizarlo más tarde para retirar dinero.

Espacios de coworking

Por último, con el auge del teletrabajo, los espacios de coworking se han convertido en la nueva normalidad para muchas personas.

Sin embargo, trabajar con documentos confidenciales o acceder a cuentas delicadas en espacios de trabajo compartidos entraña riesgos.

En los espacios de coworking abiertos, nunca se sabe quién puede estar mirando desde la distancia. Es más, algunos espacios de coworking ni siquiera tienen controles de seguridad en la entrada, lo que significa que cualquiera puede entrar sin más.

Y lo que es más, puede que el Wi-Fi no esté debidamente protegido. La transmisión de datos puede estar sin cifrar, lo que hace vulnerables datos como archivos y contraseñas. La contraseña también puede ser demasiado débil, permitiendo el acceso no autorizado. Por eso recomendamos siempre que sea posible utilizar la red móvil.

Sin embargo, puede que no siempre tenga esta opción. Del mismo modo, puede que se vea obligado a trabajar durante su trayecto en tren. Entonces, ¿cómo evitar el shoulder surfing en esos casos en los que no tiene elección? Eso es lo que exploraremos en la siguiente sección.

¿Cómo evitar el Shoulder Surfing?

Hay muchas estrategias paliativas que puede utilizar para evitar el shoulder surfing.

  • La primera estrategia, y la más obvia, es ser consciente de sus alrededores. Asegúrese de mirar a su alrededor antes de teclear su PIN en un cajero automático: este pequeño acto a menudo desalentará un posible ataque de shoulder surfing.
  • Cuando esté en un cajero automático, asegúrese de seleccionar «Salir» cuando haya terminado. Algunos cajeros automáticos no exigen que la tarjeta esté en el cajero cuando se realiza una transacción adicional, por lo que el delincuente puede simplemente entrar detrás de usted y volver a introducir su PIN para sacar dinero.
  • ¿Le gusta trabajar en cafeterías? Entonces asegúrese de elegir un asiento de espaldas a la pared. Esto reducirá drásticamente los riesgos de un ataque de «shoulder surfing».
  • ¿Necesita compartir información delicada por teléfono? Asegúrese de bajar la voz y taparse la boca. Lo ideal es enviar la información por SMS o por correo electrónico cifrado.
  • Nunca JAMÁS deje su portátil desatendido. Bloquee siempre la pantalla y cierre el portátil si necesita salir de su espacio. Y si está en un lugar público, simplemente lleve el portátil encima en todo momento para evitar robos.
  • Utilice autenticación biométrica en lugar de PIN y contraseñas. Esto significa reconocimiento facial (Face ID) o utilizar el pulgar (Touch ID) para desbloquear su iPhone, por ejemplo.
  • Active siempre la 2FA en las cuentas que lo admitan, como Mailfence para sus correos electrónicos. La 2FA añade otra capa de seguridad a su cuenta. Aunque un atacante tenga acceso a sus credenciales de inicio de sesión, no podrá conectarse a sus cuentas.
  • Utilice el pago sin contacto. En lugar de introducir un PIN, utilice aplicaciones de pago sin contacto siempre que sea posible. Muchos terminales de pago también le permiten acercar su tarjeta para pagar pequeñas cantidades sin introducir el PIN.

Shoulder surfing: Técnicas avanzadas de prevención

En la sección anterior se han tratado algunos hábitos básicos que todo el mundo puede utilizar para evitar el shoulder surfing. Sin embargo, si trabaja habitualmente en espacios de trabajo compartido o en el tren, puede que quiera reforzar su seguridad.

En ese caso, aquí tiene algunas técnicas de prevención adicionales que puede poner en práctica:

  • Utilice un protector de pantalla de privacidad. Los protectores de pantalla no sólo sirven para evitar arañazos en pantalla. Algunos también impiden ver lo que hay en la pantalla cuando se mira desde cierto ángulo:
Una pantalla de privacidad es una buena forma de evitar el shoulder surfing
Una pantalla de privacidad es una buena forma de evitar el «shoulder surfing»
  • Eyeprint ID es una tecnología totalmente nueva desarrollada por EyeVerify. Este sistema autentica a los usuarios analizando patrones únicos de los vasos sanguíneos del ojo. Empresas como Wells Fargo ya lo han integrado en sus aplicaciones de banca móvil, permitiendo a los clientes acceder a sus cuentas de forma segura utilizando los patrones de las venas oculares.
  • Desactive las notificaciones. Las notificaciones suponen un gran riesgo para la privacidad porque pueden mostrar información delicada de aplicaciones o correos electrónicos, incluso cuando el teléfono está bloqueado.
  • Autenticación basada en la mirada: en lugar de teclear contraseñas, algunos sistemas de seguridad avanzados utilizan tecnología de seguimiento ocular para autenticar a los usuarios basándose en sus patrones de mirada únicos. Esto elimina el riesgo de robo de contraseñas mediante pirateo visual. Este método aún está en fase de desarrollo, pero debería ver la luz en los próximos años.
  • Aunque todavía no están disponibles, las aplicaciones de privacidad basadas en IA pronto entrarán en el mercado. Actualmente se está investigando la posibilidad de utilizar la cámara frontal de un smartphone para detectar espectadores no autorizados. Si se detecta a alguien que no sea el usuario mirando la pantalla, ésta se difumina o envía una alerta. Puede consultar esta patente de Google para conocer más.

Shoulder surfing: Reflexiones finales

¡Hasta aquí esta guía sobre el shoulder surfing! Esperemos que ahora comprenda mejor esta amenaza y cómo mitigarla.

En resumen, es importante recordar que no todos los ataques de ingeniería social requieren una elaborada treta para conseguir que revele sus datos delicados. A veces, basta con no prestar suficiente atención a su entorno, un momento de distracción o dar verbalmente el PIN a alguien por teléfono.

Si quiere llevar su seguridad online al siguiente nivel, no deje de consultar nuestro conjunto de herramientas privadas y seguras, que incluye correos electrónicos, almacenamiento online, calendario y mucho más.

Recupera la privacidad de tu correo.

Cree hoy mismo su correo electrónico gratuito y seguro.

Registrarse
Picture of Simon Haven

Simon Haven

Simon es el Director de Marketing de Mailfence. Dirige al equipo en la elaboración de contenidos informativos y atractivos que permiten a los usuarios tomar el control de su privacidad en línea. Sus áreas de especialización incluyen SEO, creación de contenidos y gestión de redes sociales..

Recomendado para usted