El método sencillo y eficaz con el que te roban datos personales en el metro

Mirar por encima del hombro (en inglés shoulder surfing) mientras ponemos nuestra contraseña para desbloquear nuestro dispositivo móvil o escribimos un correo es una técnica usada por los delincuentes con el objetivo de conseguir información de una persona en concreto. Según la oficina de Seguridad del Internauta (OSI @osiseguridad) es una técnica muy provechosa, que permite robar nuestras credenciales, contactos, códigos de desbloqueo (PIN, patrón, etc.), incluso datos bancarios: “en su sencillez reside su éxito, y es que ninguno de nosotros llega a ser consciente cuando viajamos en metro, en el autobús o en tren de que, quien se sienta a nuestro lado o se encuentra muy próximo a nosotros, puede estar observando nuestros movimientos en el dispositivo con intenciones maliciosas. A estos ciberdelincuentes les basta simplemente con tener paciencia y quedarse observando, y al final nosotros mismos seremos los que acabemos por revelar nuestra información.

La propia OSI pone un revelador ejemplo del uso de esta técnica. Es el caso de una persona que, viajando en el metro, se entretiene escuchando música y navegando por sus redes sociales, bloqueando y desbloqueando cada poco tiempo su dispositivo. Mientras está concentrado en su Smartphone, un extraño se acerca por detrás, permaneciendo muy atento a los movimientos que lleva a cabo. Tras un par de paradas, el desconocido le arranca el dispositivo de las manos y salta fuera del vagón de metro justo cuando las puertas se cierran y huye hacia la salida.

Si el atacante, tras observar detenidamente, hubiera conseguido descubrir el código de desbloqueo del móvil, tendría acceso a todos los contenidos sin cifrar del dispositivo, así como acceso a cualquier cuenta cuyas credenciales estuviesen guardadas en el navegador y el Smartphone.

Si sufres uno de estos ataques, puedes denunciar el robo y cambiar las credenciales de todas tus cuentas en cuanto tengas acceso a Internet. Incluso puedes realizar un borrado del dispositivo de manera remota. Pero no habrás podido evitar que el ciberdelincuente haya tenido acceso durante un tiempo a toda la información almacenada en tu Smartphone poniendo en peligro tu privacidad y seguridad.

Este tipo de ataques no solo pueden darse en transportes públicos, también puede ocurrir cuando estamos utilizando un cajero automático, escribiendo algo personal en nuestra agenda o un cuaderno, o cuando estamos hablando por teléfono y alguien se acerca para oír la conversación.

Cómo prevenirlo

La OSI pone a disposición de los usuarios estas pautas y herramientas con las que reducir drásticamente las probabilidades de ser víctimas de este tipo de ataque:

–Utilizar un gestor de contraseñas: una forma de proteger nuestras credenciales de miradas indiscretas es utilizar un gestor de contraseñas. De este modo, será más difícil para el atacante hacerse con nuestras contraseñas al estar cifradas. Para que esta medida de protección tenga éxito, debemos evitar guardar las credenciales en nuestro navegador, servicio o aplicación.

–Utilizar la verificación en dos pasos: añadir una capa de seguridad extra a nuestras cuentas. De este modo, aunque el atacante se haga con nuestras credenciales, necesitará otro elemento del que sólo nosotros disponemos para acceder a nuestras cuentas.

–Evitar que terceros tengan visión de la pantalla: tratar de evitar que terceros tengan visibilidad sobre lo que estamos haciendo, una medida simple, pero fundamental. Quizás podamos ponernos de espaldas a una pared o, en determinados dispositivos, podemos emplear filtros de privacidad. Se trata de pantallas que impiden la visión desde determinados ángulos, poniéndoselo muy difícil a aquellos que estén mirando por encima de nuestro hombro. Esta medida también se aplica, por ejemplo, cuando nos encontramos en un cajero automático y no queremos que terceros puedan ver nuestro PIN. Podemos taparnos la mano, asegurarnos de que no hay nadie cerca, etc.

–Tratar de no compartir información personal: si nos encontramos en un lugar público, rodeado de gente, quizás no sea el mejor momento para ingresar datos sensibles, como nuestra contraseña del correo electrónico, datos de la tarjeta de crédito o credenciales de una aplicación bancaria. Si podemos evitarlo, minimizaremos los riesgos de sufrir este tipo de ataque.

–Cifrar el dispositivo: finalmente, como medida de seguridad y protección de nuestra información, lo mejor que podemos hacer es cifrar el dispositivo. De este modo, si nuestro equipo fuese robado, el atacante no podría acceder a su contenido sin la clave de descifrado.