Vivimos en una era de conectividad generalizada. Sin embargo, nuestras vidas siempre activas y centradas en los dispositivos móviles también nos exponen al riesgo. Para muchas personas el phishing o la descarga por error algún malware son las principales amenazas en Internet contra sus datos personales y profesionales. Sin embargo, no todo es tan sofisticado. A veces, las viejas formas, como espiar por encima del hombro el teléfono de una persona distraía o incluso revisar la basura de alguien, pueden ofrecer un mejor retorno de la inversión, y hay muchos estafadores oportunistas dispuestos a intentarlo.
Espiar de cerca es una modalidad a la que suelen recurrir los estafadores incluso antes que llegaran los smartphones y las computadoras portátiles. Basta con preguntarle a cualquier persona a la que le hayan robado el PIN de su tarjeta de crédito o lo dígitos de su tarjeta telefónica por transeúntes sin escrúpulos. Hoy en día, las posibilidades de obtener datos sensibles de esta manera son mayores.
Nuestros estilos de vida, apresurados y multidispositivo, son un imán para estafadores que espían por encima de nuestro hombro mientras ingresamos las credenciales de nuestra cuenta bancaria o de nuestro correo. Sin embargo, solo unos pequeños cambios de comportamiento podrían ser suficientes para mantenernos a salvo.
Ejemplos que muestran el alcance
La mayoría de nosotros subestimamos que alguien pueda robar nuestras información espiándonos por encima del hombro. Creemos que seríamos capaces de ver a alguien acechando detrás de nosotros con los ojos pegados a nuestra pantalla. Pero también es cierto que los delincuentes solo necesitan tener una oportunidad.
Jake Moore, especialista de ESET, reveló cómo fue capaz de obtener los detalles de inicio de sesión de cuentas de servicios online de sus amigos en unas pruebas que hizo con el consentimiento previo de estas personas. Su investigación demuestra cuán expuestos estamos muchos de nosotros frente a atacantes inteligentes, especialmente en entornos informales como bares, cafés y restaurantes.
1. Robando las credenciales de Snapchat
En su primer experimento, Jake le apostó a un amigo que podría secuestrar su cuenta de Snapchat, incluso estando protegida por la autenticación en dos pasos. Utilizando la función de restablecimiento de contraseña, ingresó su número de teléfono y seleccionó la opción para recibir un mensaje con un código de confirmación. Simplemente mirando por encima del hombre el mensaje de confirmación cuando apareció en la pantalla de inicio de su amigo, pudo tomar el control completo de la cuenta. Incluso un segundo código SMS enviado como confirmación fue ignorado por el titular de la cuenta, pero observado e ingresado por Jake apenas llegó la notificación a su dispositivo.
Ahora bien, es posible que un atacante normalmente no conozca el número de teléfono de su víctima, pero sí es probable que pueda encontrarlo en línea a partir de filtraciones de datos previamente divulgadas o aprovechando la información pública disponible en Internet, incluso información publicada en las redes sociales. Al llamar al usuario y fingir ser un empleado de dicha compañía de redes sociales, un atacante podría teóricamente engañar al usuario para que entregue su código SMS.
Por supuesto, esto último no se trata estrictamente de espiar por encima del hombro. Pero imaginemos un entorno de oficina o en una institución educativa donde colegas o jóvenes pueden estar cerca de usuarios cuyos números de teléfono conocen. En contextos como estos, reestablecer una contraseña supone un riesgo, ya que podemos exponernos a que personas al lado nuestro estén atentos a nuestras pantallas sin que nos demos cuenta.
2. Robando las credenciales de PayPal
En un segundo experimento similar, Jake le apostó a un amigo que podría secuestrar una de sus cuentas en línea. Esta vez fue a la página de inicio de sesión de PayPal para solicitar un restablecimiento de contraseña. Conociendo el correo electrónico del usuario, lo escribió y seleccionó la opción de verificación de seguridad vía código SMS enviado a su teléfono. De manera similar al ejemplo anterior, Jake pudo observar encubiertamente en el dispositivo de su compañero mientras el código parpadeaba y de esta manera logró acceder a la cuenta de PayPal de su amigo.
Una vez más, aquí un atacante necesitaría obtener el correo electrónico de una víctima, ya sea mirando por encima de su hombro o encontrando esta información previamente. Luego, tendría que acercarse al usuario para captar ese código de confirmación una vez que llega al dispositivo de la víctima. Una vez más, una oficina o escuela serían el lugar perfecto. En estos casos, si un atacante tiene sus ojos puestos en una persona que permanece en un lugar público durante un tiempo suficiente, no es descabellado pensar que en algún momento tendrá la posibilidad de detectar cuál es su dirección de correo electrónico.
A qué riesgos estamos expuestos
Lo primero que debe quedar claro es que las barreras de seguridad, en muchos casos, son demasiado fácil de saltar para los actores maliciosos. Especialmente si tienen sus ojos puestos encima de tu laptop o teléfono. Muchos de nosotros permitimos que las notificaciones aparezcan todo el tiempo en nuestras pantallas. Incluso algunos nos acostumbramos tanto a recibir notificaciones que simplemente las ignoramos. Sin embargo, los que miran por encima del hombro, no lo hacen.
Me parece pertinente remarcar que la víctima en el ejemplo anterior de PayPal era una persona con más de 20 años de experiencia en ciberseguridad. Si él pudo ser estafado de esta manera, muchos otros podrían serlo, y una vez que un criminal tiene acceso a tu cuenta, podría:
- Cambiar las credenciales de inicio de sesión y luego extorsionar a las víctimas que quieren recuperar el acceso
- Utilizar técnicas de fuerza bruta para probar las mismas credenciales de inicio de sesión para acceder a otras cuentas
- Robar tu información personal para realizar fraudes con tu identidad o enviar mensajes de phishing
- Acceder y desviar fondos a sus propias cuentas
- Intimidar a las víctimas publicando contenido inapropiado desde sus cuentas
Cómo prevenir ser víctima
El impacto de sufrir el secuestro de una cuenta puede durar muchos meses. Si los actores maliciosos han logrado robar fondos e información personal, podrías sufrir de intentos de phishing en los meses siguientes. Recuperar los fondos perdidos y restablecer los datos de tus tarjetas de crédito, por ejemplo, puede llevar aún más tiempo. Considerando esto, aquí hay algunas recomendaciones para reducir el riesgo de ser víctima de esta modalidad:
- Nunca reutilices contraseñas en todas tus cuentas. Utiliza un administrador de contraseñas para almacenar credenciales únicas y seguras. Activa la autenticación en dos pasos (MFA), pero elige una aplicación de autenticación (por ejemplo, Google Authenticator, Microsoft Authenticator) en lugar de la opción de código SMS.
- Siempre mantente alerta al iniciar sesión en tus cuentas en público. Eso podría significar dejar de trabajar en aviones, trenes, aeropuertos, vestíbulos de hoteles o lugares similares abarrotados de gente. O, al menos, trabajar de espaldas a una pared.
- Usa una pantalla de privacidad para la computadora. De esta manera reducirás considerablemente la visibilidad de tu pantalla para quienes no estén frente al monitor.
- Desactiva las notificaciones visualización del contenido de las notificaciones en pantalla para SMS, correos electrónicos y alertas para evitar ejemplos de ataque como los que Jake demostró anteriormente. Si alguien accede a una de tus cuentas, y no fuiste tú, investiga de inmediato.
- Prácticamente no hace falta decirlo, pero nunca dejes ningún dispositivo fuera de tu atención en un espacio público. Y asegúrate de que esté bloqueados con códigos de acceso fuertes.
Los delincuentes que se dedican a espiar por encima del hombro siguen siendo una amenaza, en gran medida, subestimada. Esto no significa que probablemente intenten engañarte con más frecuencia de esta manera que a través de un phishing. Pero, sí aplican las mismas reglas: mantenerse alerta, estar preparado y realizar buenas prácticas de seguridad .