Mirar por encima del hombro

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

En seguridad informática, mirar por encima del hombro (en inglés, Shoulder surfing) es una técnica de ingeniería social usada para obtener información de un usuario concreto.

Normalmente esta técnica es usada para obtener el número de seguridad personal de la víctima así como sus contraseñas y otros datos confidenciales. Para realizar esta técnica no se requiere ninguna habilidad específica, solo la agilidad y preparación que tiene la persona que lo lleva a cabo.

Existen dos formas de realizar el ataque, la primera de una forma más cercana mirando por encima del hombro al atacante intentando visualizar los datos que pretende conseguir, y la segunda de una forma más lejana utilizando prismáticos o aparatos de espionaje especializado, como cámaras espía o micrófonos.

Historia[editar]

A principios de los años ochenta, esta técnica se practicaba cerca de los teléfonos públicos para robar los dígitos de la tarjeta de llamada y hacer llamadas de larga distancia de forma gratuita, también se vendían estos dígitos en el mercado negro.

Sin embargo, el advenimiento de las tecnologías modernas como las cámaras ocultas y los micrófonos secretos hace que sea más fácil y da más espacio para que el atacante pueda realizar esta técnica de largo alcance.

Una cámara oculta permite al atacante capturar todo el proceso de inicio de sesión y otros datos confidenciales de la víctima, lo que en última instancia podría conducir a pérdidas financieras o robo de identidad.

Los lugares con afluencia masiva de gente son los más suculentos para los atacantes, suelen observar el entorno en el que se mueve la víctima antes de realizar el ataque.

Contextos[editar]

Los supuestos más normales en los que puede ocurrir el robo de identidad son los siguientes:

  • Al ingresar nuestro correo electrónico en una página web.
  • Al registrarnos en una aplicación.
  • Al retirar dinero en efectivo de tu cuenta bancaria.
  • Al relleno formularios de un depósito bancario.
  • Al relleno formularios de préstamos de dinero.

Según varias encuestras realizadas a usuarios, los datos son realmente alarmantes ya que:

  • El 85% de los encuestados admitieron ver información sensible en pantalla que no estaban autorizados a ver.
  • El 82% admitió que era posible que la información en sus pantallas pudiera haber sido vista por personal no autorizado.
  • El 82% tenía poca o ninguna confianza en que los usuarios de su organización protegerían su pantalla de ser vistos por personas no autorizadas.

Prevención[editar]

Siempre que introduzcamos información confidencial debemos cerciorarnos de que nadie a nuestro alrededor este atento a lo que hacemos, buscando la mayor privacidad posible.

Ciertos modelos de lectores de tarjetas de crédito tienen el teclado empotrado, y emplean un escudo de goma que rodea una parte significativa de la apertura hacia el teclado. Esto hace que aplicar esta técnica sea mucho más difícil, ya que ver el teclado está limitado a un ángulo mucho más directo que los modelos anteriores de cajeros automáticos.

Algunos cajeros automáticos tienen una pantalla sofisticada que disuade a los atacantes de obtener información. Se hacen más oscuros los terminales según te alejas del ángulo de visión, y la única manera de ver lo que se muestra en la pantalla es estar directamente frente a ella. Aunque esto impide que un observador obtenga cierta información, no disuade al atacante de obtener lo que busca.

Generalmente las técnicas anteriores no se requieren para proteger el PIN, porque el PIN normalmente no se muestra durante la entrada, solamente es introducido por el usuario. La privacidad durante la entrada del PIN puede lograrse proporcionando una barrera sobre las teclas, que normalmente solemos ser nosotros mismos tapándonos con nuestra mano o colocando el dispositivo de entrada del PIN de modo que durante la entrada del PIN las teclas estén protegidas por e cuerpo del usuario.

Bibliografía[editar]

  • E. Cole (2009). Network Security Bible, 2nd Edition. John Wiley & Sons. 
  • J. Vacca (2009). NComputer and Information Security Handbook. Morgan Kaufmann. 
  • Roth, V. y Richter, K. (1751). Cómo defenderse del shoulder surfing. Revista de Banca y Finanzas. 
  • Long J. y Mitnick K. D. (2008). Shoulder surfing. Burlington. 
  • Visual Data Security
  • ISO - 9564