Aunque a veces parece que en el entorno tecnológico el éxito va ligado siempre a la complejidad inherente en la innovación, a menudo la clave radica en la sencillez.

Trasladando esta reflexión al ámbito de la ciberseguridad, las técnicas utilizadas por los ciberdelincuentes no siempre son sofisticadas, ni requieren de habilidades o herramientas complejas.

Y este es el caso de uno de los más antiguos y efectivos ataques de ingeniería social: el shoulder surfing.

Un ciberataque con historia

Aunque a veces hay conceptos que no parecen adquirir suficiente importancia hasta que se extiende el uso de su denominación en inglés, lo cierto es que la técnica shoulder surfing, es decir “mirar por encima del hombro”, es seguramente una de las técnicas más antiguas para sustraer datos personales.

Ya en la década de los ochenta, cuando aún existían las cabinas telefónicas y usábamos tarjetas de recarga, se extendió la práctica fraudulenta de utilizar el shoulder surfing para robar los dígitos de la tarjeta y poder realizar llamadas “gratuitamente”. Años más tarde, con el despliegue de los cajeros automáticos de las entidades bancarias, esta técnica fue utilizada (y aún lo es) para poder visualizar el pin de acceso. Ahora la información que con esta técnica persiguen los ciberdelincuentes es la de los teléfonos móviles, así que debemos ser cautelosos cuando utilizamos nuestros dispositivos en lugares públicos y asegurarnos de que nadie espía nuestros movimientos por encima nuestros hombros.

Las claves del shoulder surfing: la sencillez y la efectividad

Enmarcado en el conjunto de ataques de ingeniería social, como el pishing y el smishing, el shoulder surfing tiene el mismo objetivo: conseguir la información personal o las credenciales de acceso de un usuario para poder acceder a sus cuentas (bancarias, de redes sociales, de correo electrónico, etc.) y dispositivos.

El éxito de esta técnica reside, sobre todo, en su sencillez y efectividad. No hacen falta conocimientos técnicos ni costosos equipos informáticos, únicamente mucha paciencia y la habilidad para no ser vistos. Y la recompensa puede ser muy grande: el acceso a información confidencial que puede ser la puerta de entrada a credenciales, contactos, códigos de desbloqueo y datos bancarios.

¿Alguna vez te has sentido observado al utilizar tu smartphone?

Otra de las claves del shoulder surfing es que todos podemos ser futuras víctimas. Es verdad que el atractivo que nosotros podemos tener para un ciberdelincuente no es el mismo que si fuéramos alguien conocido públicamente o con importantes responsabilidades corporativas o gubernamentales.

Pero es precisamente esa inconsciencia como usuarios de a pie, anónimos y desconocidos, lo que nos hace más vulnerables. Porque a nivel estrictamente técnico, sólo por el hecho de ser usuarios de Internet y/o disponer de una tarjeta bancaria ya somos víctimas potenciales.

Esta consciencia de peligro es aún más importante en lugares públicos y/o muy concurridos (en el transporte público o en una terraza tomando algo) y también en un cajero automático de una entidad bancaria, donde es mucho más fácil que los ciberdelincuentes puedan actuar con impunidad.

¿Qué hacer si pasa y cómo evitar el shoulder surfing?

Por su naturaleza sigilosa, es muy fácil ser víctima de shoulder surfing y, además, suele tardarse mucho tiempo en detectar. En cualquier caso, una vez seamos conscientes de ello, hay que hacer tres acciones con la máxima celeridad posible: cambiar las credenciales de todas las cuentas, cerrar todas las sesiones abiertas en servicios web y realizar un borrado seguro del dispositivo de manera remota (en dispositivos Android, iOS o Windows).

Si lo que queremos es evitar este tipo de ataque, aquí van unos consejos:

Utilizar gestores de contraseñas

La utilización de estos programas evitará que el ciberdelincuente pueda acceder a nuestra información confidencial. Evidentemente no hay que guardar nunca datos o contraseñas en el bloc de notas o cualquier aplicación del dispositivo que no permita el cifrado y la protección con contraseña.

Cifrar los dispositivos

Esta acción va un paso más allá de la anterior, ya que añade una capa extra de seguridad en nuestros dispositivos, consiguiendo que la información confidencial y crítica solo sea visible y accesible con una contraseña extra. En este artículo de OSI (Oficina de Seguridad del Internauta) dan las claves para activar este cifrado.

Verificación de dos pasos

Otro extra de seguridad, vinculado más a servicios web que a los dispositivos, es la verificación de dos pasos. Activando esta función los ciberdelincuentes que se hayan hecho con alguna contraseña nuestra mediante shoulder surfing no podrán acceder a nuestras cuentas porque les faltará el segundo código, normalmente asociado a un dispositivo.

Impedir la visión de los dispositivos

Ya sea mediante filtros de privacidad para pantallas o con acciones tan básicas como crear una barrera física con algún objeto, sentarse de espaldas a la pared o tapar el teclado. Estas medidas son tan simples como efectivas.

Cuidado con los lugares públicos

Finalmente, y si es posible, recomendamos no realizar ninguna acción vinculada a información personal y/o confidencial en sitios públicos o rodeados de gente. De esta manera evitaremos ser un blanco fácil para ciberdelincuentes.

Precaución, sí, paranoia, no

Como en la mayoría de los aspectos vinculados a la ciberseguridad se trata, en definitiva, de actuar con precaución y siendo conscientes de que podemos ser víctimas de un ciberataque en cualquier momento y lugar. No es necesario entrar en modo paranoia, pero no por ello hay que descuidar la seguridad y ponérselo demasiado fácil a los ciberdelincuentes.