ParablanHector Alejandro Parada Blanco |
El día de hoy explicaré en que consiste la técnica conocida como shoulder surfing o en español, mirar por encima del hombro, esta es una de las técnicas de hacking más fáciles de utilizar, ya que solo necesitaremos ser muy buenos observadores y prestar más atención a los detalles.
El shoulder surfing se puede realizar de dos maneras distintas, la primera de ellas consiste en un acercamiento directo con la víctima, y mirar por encima del hombro ("Disimuladamente") si podemos capturar algún dato relevante de lo que la víctima este digitando o consultando. Un ejemplo de este método y que he visto regularmente en algunas empresas, consiste en reportar una falla al departamento de sistemas, los cuales suelen enviar un técnico para solucionar el problema reportado, estos a su vez digitan contraseñas de usuarios con privilegios de administrador con el fin de tener mayor control del equipo que presenta la falla y solucionarla con mayor celeridad, hasta este punto todo está bien, el problema ocurre cuando dichas credenciales de autenticación las digitan frente al usuario que los ha llamado reportando la falla, he visto que muchos usuarios no quitan la mirada a lo que el personal de sistemas digita, y esto puede provocar una intrusión inminente en el sistema por parte del usuario que ha reportado la "falla" o por un tercero.
El shoulder surfing también se puede realizar de una manera indirecta, para ello puedes utilizar cámaras espía, binoculares, drones o cualquier otro objeto que nos permita hacernos con la información que deseamos de la víctima.
Muchas veces capturamos información sin querer, tal vez les ha sucedido como a mí, que van tranquilos en el transporte público, y empiezas a escuchar conversaciones de las personas que están cerca de ti, bueno, yo suelo descartar conversaciones de tipo románticas, deportivas o de salud, sin embargo debo confesar que presto atención a conversaciones donde el tema principal es empresarial, a veces sin quererlo, memorizo nombres, cargos y/o proyectos de una empresa, lo divertido es que si estas de suerte, mientras prestas atención a la conversación, de repente, entre tantas conversaciones, una resalta entre todas las demás, al escuchar "Si, te repito la clave, escríbela por favor, la clave es xxx", y así por pura casualidad, y sin querer, capturamos una clave, el problema ahora es saber dónde digitar dicha clave, para ello, sólo debemos prestar atención al resto de la conversación y si la conversación finaliza sin ningún dato relevante adicional que nos pueda ayudar a conocer donde debe ir dicha clave o a que corresponde, bien podemos prestar atención al vestuario de la persona, algunos portan un carnet de identificación de la empresa en la que laboran, o llevan puesta alguna prenda del uniforme de trabajo, así pues, conoceriamos el nombre de la empresa en la que la "victima" trabaja, y habremos recopilado algo más de información "sin querer".
Por supuesto, esta técnica también es muy usada para la captura de patrones de seguridad empleados en el desbloqueo de smarthphones, por ejemplo, aquel momento en el que alguien a tu lado o sentado cerca de ti, desbloquea el celular sin percatarse de que estaba siendo observado. Una forma divertida de obtener patrones o claves de desbloqueo es sentarte en el transporte público, y ver como por el reflejo del espejo la persona que va delante tuyo desbloquea el celular y nos regala sin querer el patrón de seguridad que tiene configurado.
Pero el shoulder surfing requiere de algo más, requiere que seamos también adivinos, ya que no siempre podemos ver con claridad la información que deseamos, si por ejemplo, alguien desbloquea su celular frente a nosotros pero no podemos ver la pantalla, debemos prestar atención al movimiento de la mano, para así con suerte, adivinar el patrón de desbloqueo.
Obviamente esta técnica de hacking es débil cuando ponemos en práctica buenos hábitos en el cuidado de nuestros datos y privacidad de la información en general. Por ello, y para evitar este tipo de ataques, lo primero es ser precavido, por ejemplo, utiliza desbloqueos biométricos como la huella digital, en lugar de patrones o claves, no dejes a la vista de curiosos documentos que consideres importantes (No se imaginan la cantidad de veces que encuentro claves de inicio de sesion bajo el teclado de secretarias), no menciones tus planes, movimientos transaccionales o situaciones de tu lugar de trabajo delante de desconocidos.