Muchas personas han notado como yendo en transporte público, sacando dinero de un cajero automático o simplemente hablando por teléfono otros se acercan demasiado para “espiar” aquello que están haciendo.
Aunque no lo parezca, se trata de un método de ingeniería social llamado “shoulder surfing” utilizado por atacantes con el que miran por encima del hombro cuando los usuarios utilizan un dispositivo electrónico para obtener información valiosa, como contraseñas, claves de cajeros automáticos o el correo electrónico.
En este sentido, esta técnica tan sencilla puede servir a los atacantes para robar códigos de desbloqueo de los dispositivos, pero también permite hurtar credenciales, contactos e incluso datos bancarios de los usuarios.
Existen diversos ejemplos de ataques por medio del “shoulder surfing”, aunque es más común puede llevarse a cabo en el transporte público cuando los usuarios, sin percatarse de las personas que tienen alrededor, utilizan su teléfono móvil sin ningún tipo de cuidado.
De esta forma, los usuarios desbloquean su teléfono móvil, revisan su correo electrónico o sus cuentas bancarias desde la aplicación móvil, además de iniciar sesión en sus redes sociales poniendo sus contraseñas, entre otras cosas. Si el atacante logra robar el móvil, puede tener acceso al dispositivo, así como a las cuentas cuyas contraseñas estén guardadas en el teléfono.
Otro ejemplo es el de las llamadas telefónicas. Si un usuario recibe una llamada de una persona a la que conoce que quiere realizar una compra a través de Internet y necesita su número de tarjeta bancaria, puede convertirse en una víctima de “shoulder surfing” en el momento en el que empiece a decir los datos, ya que el atacante podría escucharlos y utilizarlos más adelante.
Asimismo, al sacar dinero de un cajero automático, los usuarios también deben estar pendientes de que nadie esté observando lo que hacen, ya que podrían adquirir el número PIN de la tarjeta bancaria.
Por ello, los usuarios deben seguir una serie de pautas, así como hacer uso de herramientas para evitar ser víctimas de ataques “shoulder surfing”.
Según aconseja la Oficina de Seguridad del Internauta (OSI), una forma de proteger las credenciales es mediante el uso de un gestor de contraseñas, lo que complica al atacante obtenerlas, ya que están cifradas. Además, los usuarios deben evitar guardar las credenciales en las aplicaciones, servicios o navegadores para que la medida sea efectiva.
Los usuarios deben añadir una capa de seguridad adicional a sus cuentas mediante la verificación en dos pasos, ya que en caso de que el atacante acceda con nuestras credenciales, necesitará otro elemento que solo los usuarios tendrán para entrar a sus cuentas.
También, es aconsejable que los usuarios eviten que otras personas puedan tener visión de la pantalla e intentar no compartir información personal.
Otra medida de seguridad y protección de la información de los usuarios es cifrar el dispositivo para que los atacantes no puedan acceder a su contenido sin la clave necesaria para descifrarlo.