«Los mirones son de palo» es una expresión que quizá nunca había cobrado tanto sentido, como hoy en el contexto de la era digital, en la que la seguridad de los datos personales, profesionales y sensibles que están en todas las aplicaciones y plataformas, en manos equivocadas, pueden desencadenar diversos delitos.
“Espiar de cerca es una modalidad a la que suelen recurrir los estafadores incluso antes que llegaran los smartphones y las computadoras portátiles… Pero hoy, las posibilidades de obtener datos sensibles de esta manera son mayores. Nuestros estilos de vida apresurados y con múltiples dispositivos, son un imán para estafadores que miran por encima del hombro”, advirtió Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica.
Y es que no todas las tácticas son tan sofisticadas y la mayoría de los usuarios subestima que alguien pueda robar su información “espiando por encima del hombro”, es decir, mientras se ingresan las credenciales de una cuenta bancaria o del correo electrónico.
Jake Moore, especialista de ESET, llevó a cabo un experimento entre sus amigos mediante el que, con su consentimiento previo, pudo obtener detalles de inicio de sesión de cuentas de servicios online, pero sólo espiando en entornos informales como bares, cafés y restaurantes.
Jake le apostó a un amigo que podría secuestrar su cuenta de Snapchat, incluso estando protegida por la autenticación en dos pasos, para lo que utilizó la función de restablecimiento de contraseña, ingresó el número de teléfono y seleccionó la opción para recibir un mensaje con un código de confirmación.
Simplemente mirando por encima del hombro el mensaje de confirmación, cuando apareció en la pantalla de inicio de su amigo, pudo tomar el control completo de la cuenta. Incluso un segundo código SMS enviado como confirmación fue ignorado por el titular de la cuenta, pero observado e ingresado por Jake apenas llegó la notificación a su dispositivo.
“Si bien es posible que un atacante normalmente no conozca el número de teléfono de su víctima, sí es probable que pueda encontrarlo en línea a partir de filtraciones de datos previamente divulgadas o aprovechando la información pública disponible en Internet, incluso información publicada en las redes sociales”.
En otro experimento, para secuestrar una cuenta de Paypal, Jake fue a la página de inicio de sesión para solicitar un restablecimiento de contraseña y conociendo el correo electrónico del usuario, lo escribió y seleccionó la opción de verificación de seguridad vía código SMS enviado a su teléfono.
De manera similar al ejemplo anterior, pudo observar encubiertamente en el dispositivo de su compañero mientras el código parpadeaba y de esta manera logró acceder a la cuenta de PayPal de su amigo.
“En estos casos un atacante necesitaría obtener el correo electrónico de una víctima, ya sea mirando por encima de su hombro o encontrando esta información previamente. Luego, tendría que acercarse al usuario para captar ese código de confirmación cuando llega al dispositivo de la víctima. Una oficina o escuela, o un entorno en que quienes estén presentes sepan algún dato del otro, son el lugar perfecto”.
Gutiérrez Amaya subrayó que los delincuentes que se dedican a espiar por encima del hombro siguen siendo una amenaza y por ello los usuarios deben mantenerse alerta, al iniciar sesión de cuentas en público, ni dejar ningún dispositivo desatendido en un sitio público, porque sí aplican las mismas reglas para protegerse de phishing: mantenerse alerta, estar preparado y realizar buenas prácticas de seguridad.
C$T-EVP