¿Qué es el surf de hombro?

En seguridad informática, hay muchos riesgos y muchas formas que pueden tomar esos riesgos. Shoulder surfing es una forma de ingeniería social. Se refiere a una clase de ataque en el que un atacante obtiene información mirando el dispositivo de la víctima. Históricamente, esto implicó mirar físicamente por encima del hombro, pero también abarca técnicas que involucran cámaras ocultas y similares.

El ejemplo clásico de hombro surfeado es cuando un atacante mira por encima del hombro de la víctima mientras ingresa el PIN de su tarjeta de pago. El conocimiento de este tipo de ataque ha llevado a cambios en el comportamiento, incluido cubrirse activamente la mano y escribir el PIN con la otra mano. Algunas terminales de pago también incluyen una cubierta de privacidad incorporada sobre el teclado PIN. Algunos cajeros automáticos también recuerdan a los usuarios que miren por encima del hombro. También pueden tener un pequeño espejo para que pueda mirar por encima del hombro.

Nota: El espejo del cajero automático suele ser pequeño y algo empañado. Esto es deliberado. Es lo suficientemente bueno como para dejarte mirar por encima del hombro. Tampoco es lo suficientemente bueno para permitir que un atacante bien ubicado vea su PIN.

Estas contramedidas han llevado a técnicas más avanzadas en el mundo real. Muchas empresas delictivas han utilizado cámaras ocultas para espiar el teclado PIN. Algunos se colocaron más lejos y usaron binoculares o un telescopio para ver el PIN pad desde una distancia segura. También se han utilizado cámaras térmicas para identificar el PIN debido al calor remanente que queda en los botones cuando se tocan. En algunos casos, se han colocado dispositivos skimmer sobre la parte frontal del dispositivo, cubriendo los botones reales. Si bien este último caso aún da como resultado el robo de PIN y detalles de la tarjeta, no cuentan estrictamente como “shoulder surfing”, ya que no se necesitó una observación real.

Otras situaciones

Por supuesto, surfear el hombro también puede ser un riesgo en otros escenarios. Cualquier sistema con un secreto corto, especialmente en un teclado PIN numerado, está expuesto a este riesgo. Un atacante podría observar cómo se ingresa un código en una puerta de seguridad, ver las posiciones de la palanca al abrir una caja fuerte u observar cómo se ingresa una contraseña.

Nota: cuando se usa un solo PIN en un teclado durante un período prolongado, los botones pueden desgastarse o ensuciarse solo por el uso. Esto es similar, aunque una variante más extrema, al concepto de imágenes térmicas. Por lo general, solo se aplica a las puertas de seguridad, ya que tienden a tener un PIN conocido por todos los autorizados, que no se cambia con frecuencia.

El escenario de un atacante que observa que se ingresa una contraseña es particularmente interesante en seguridad informática. Si bien es posible que no le diga a las personas una contraseña de buena gana, hay otras formas de obtenerla. El phishing es un riesgo relativamente conocido y, a menudo, subestimado. Shoulder surfing también es otro riesgo. Este riesgo se aplica especialmente en lugares públicos donde no tienes control sobre las personas que te rodean. En un entorno doméstico o laboral, existe más una expectativa de confiabilidad, por fuera de lugar que pueda estar.

Por ejemplo, un atacante puede ver su código de acceso por encima de su hombro si está en una cafetería e inicia sesión en su teléfono. Un atacante también puede hacer lo mismo si está usando una computadora portátil. Es más fácil ya que las teclas son más prominentes y fáciles de distinguir si escribe rápidamente su contraseña.

Otro contenido

A menudo, el objetivo principal de los surfistas de hombro es algo pequeño de gran valor. Los PIN y las contraseñas son ideales para esto, ya que son cortos, relativamente fáciles de identificar y recordar y brindan un mayor acceso a los fondos o una cuenta o dispositivo, por ejemplo. En otros casos, el ataque puede ser puramente oportunista o el resultado de objetivos particulares, como el espionaje.

Un ataque oportunista tiende a ser la observación de algo sensible pero no útil para el atacante. Por ejemplo, algunos empresarios trabajan en el transporte público. Pueden trabajar en documentos confidenciales que involucren pronósticos financieros o cualquier otro tipo de información confidencial, interna y no pública. Alguien sentado cerca puede ver su pantalla y recopilar información.

En este caso, es posible que el atacante ni siquiera sea un atacante real. Pueden ser curiosos pero no tienen intención de hacer nada con lo que aprenden. Sin embargo, este no siempre es el caso y no hay forma de saberlo, por lo que se debe tener cuidado al manejar información confidencial en lugares públicos. Este concepto también se aplica a los contenidos personales sensibles, especialmente fotográficos o de vídeo. Nuevamente, alguien más puede mirar su pantalla. Incluso si no lo comparten más, aún puede ser una intrusión no deseada.

En contextos de espionaje e ingeniería social, un atacante puede apuntar deliberadamente a una víctima o ubicación para ver información confidencial en una pantalla. Es posible que esto no proporcione necesariamente al atacante acceso directo como lo haría una contraseña. Al igual que el ejemplo anterior, otra información confidencial también puede ser valiosa para el atacante.

Conclusión

Shoulder surfing es una clase de ataque de ingeniería social. Implica que un atacante obtenga información al observar las acciones o la pantalla de la víctima. Shoulder surfing cubre principalmente los intentos de identificar contraseñas o PIN. También cubre los intentos de ver información privada en las pantallas, como secretos corporativos o gubernamentales o información comprometedora. Shoulder surfing es esencialmente el equivalente visual de espiar o escuchar conversaciones que se suponía que no podías escuchar.