Tecnologías de bloqueo de pantalla para smartphone
diciembre 28, 2021
Rooting y Jailbreaking
diciembre 28, 2021
Trabajar en lugares públicos, como aeropuertos, restaurantes y bares, pero también grandes oficinas o locales dedicados al teletrabajo, entraña una serie de riesgos y requiere tomar algunas medidas para evitar robos de datos o identidad, alteración del dispositivo y de las credenciales, etc.
Uno de estos riesgos está representado por lo que en inglés se define como «shoulder-surfing», literalmente «surfear sobre los hombros», una técnica de ingeniería social usada para obtener información como códigos PIN, contraseñas y otros datos confidenciales observando a la víctima por encima del hombro.
Esta técnica no requiere ningún conocimiento técnico, se lleva a cabo de forma sencilla espiando a quien realiza operaciones como introducir una contraseña, un pin en un cajero automático, el código para cerrar el candado de la taquilla del gimnasio, o la contraseña para acceder a un área reservada mediante código en teclado numérico.
Se trata de una de las técnicas de ingeniería social más antiguas, pero no por esto menos eficaces. Podríamos citar varios ejemplos de ataques que han aprovechado esta técnica con éxito. Un caso muy interesante se describe en el libro «el arte del engaño» de Kevin Mitnick, un programador, phreaker, cracker y empresario estadounidense, que se ha distinguido por sus notables capacidades en la ingeniería social, habiendo seguido algunas de las incursiones más audaces en los ordenadores del gobierno de los Estados Unidos. En el libro, cuenta de su personaje, Eric, que precisamente partiendo de técnicas de shoulder-surfing, consiguió mediante una serie de pasos acceder a la red del equivalente americano de la dirección general de tráfico, y durante varios meses robó datos de permisos de conducir, datos que revendía obteniendo obviamente importantes beneficios, y con frecuencia metiendo en líos a personas inocentes.
Además del clásico ataque en el que alguien espía tu monitor, o teclado, existen una serie de evoluciones tecnológicas que prevén el uso de dispositivos como micrófonos, nano-amplificadores, microcámaras y otros objetos, que por otro lado muchas veces pueden conseguirse en Internet a precios muy reducidos.
Nos queda claro con qué facilidad un ingeniero social, también poco experimentado, puede adquirir información fundamental para la seguridad de los datos, ¿cómo podemos defendernos del shoulder surfing?
- Cuando introduces credenciales como contraseñas, códigos, pin, etc., protege siempre el teclado de modo que no sea visible a personas ni cámaras a tu alrededor.
- Mientras introduces contraseñas o credenciales, nunca las pronuncies en voz alta.
- Si trabajas en lugares públicos, instala en tu dispositivo una protección para oscurecer la visibilidad de la pantalla.
- Nunca escribas las contraseñas en tarjetas ni apuntes, consultar estos apuntes en lugares públicos, por ejemplo para introducir un pin de acceso, aumenta tu superficie de ataque.
- Cuando esté disponible, utiliza siempre autentificación de varios factores, de modo que la alteración de un factor, como por ejemplo un código PIN, no altere automáticamente tu cuenta.
- Utiliza siempre contraseña y pin diferentes para cada servicio. Con frecuencia los delincuentes utilizan las credenciales comprometidas de una cuenta para intentar acceder también a otras cuentas en tu posesión. Por ejemplo, un delincuente podría verte escribir la contraseña para acceder a un servicio web e intentar utilizar esta contraseña para tu cuenta empresarial, o en el portal de banca electrónica.
