Para muchos usuarios el phishing o la descarga por error de algún malware son las principales amenazas contra los datos personales y profesionales. Sin embargo, desde ESET, compañía líder en detección proactiva de amenazas, advierten que no todo es tan sofisticado. A veces, las viejas técnicas, como espiar por encima del hombro el teléfono de una persona distraída o incluso revisar la basura de alguien, pueden ofrecer un mejor retorno de la inversión, y hay muchos estafadores oportunistas dispuestos a intentarlo.
“Espiar de cerca es una modalidad a la que suelen recurrir los estafadores incluso antes que llegaran los smartphones y las computadoras portátiles. Basta con preguntarle a cualquier persona a la que le hayan robado el PIN de su tarjeta de crédito o los dígitos de su tarjeta telefónica. Hoy en día, las posibilidades de obtener datos sensibles de esta manera son mayores. Nuestros estilos de vida, apresurados y con múltiples dispositivos, son un imán para estafadores que miran por encima de nuestro hombro mientras ingresamos las credenciales de nuestra cuenta bancaria o de nuestro correo”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica.
La mayoría de los usuarios subestima que alguien pueda robar su información espiando por encima del hombro. Se cree que se es capaz de ver a alguien acechando detrás con los ojos pegados a la pantalla. Pero también es cierto que los delincuentes solo necesitan tener una oportunidad.
Jake Moore, especialista de ESET, reveló cómo fue capaz de obtener los detalles de inicio de sesión de cuentas de servicios online de sus amigos en unas pruebas que hizo con el consentimiento previo de estas personas. Su investigación demuestra cuán expuestos se está frente a atacantes inteligentes, especialmente en entornos informales como bares, cafés y restaurantes.
1. Robando las credenciales de Snapchat: En su primer experimento, Jake le apostó a un amigo que podría secuestrar su cuenta de Snapchat, incluso estando protegida por la autenticación en dos pasos. Utilizando la función de restablecimiento de contraseña, ingresó el número de teléfono y seleccionó la opción para recibir un mensaje con un código de confirmación. Simplemente mirando por encima del hombre el mensaje de confirmación cuando apareció en la pantalla de inicio de su amigo, pudo tomar el control completo de la cuenta. Incluso un segundo código SMS enviado como confirmación fue ignorado por el titular de la cuenta, pero observado e ingresado por Jake apenas llegó la notificación a su dispositivo.
Si bien es posible que un atacante normalmente no conozca el número de teléfono de su víctima, sí es probable que pueda encontrarlo en línea a partir de filtraciones de datos previamente divulgadas o aprovechando la información pública disponible en Internet, incluso información publicada en las redes sociales. Al llamar al usuario y fingir ser un empleado de dicha compañía de redes sociales, un atacante podría teóricamente engañar al usuario para que entregue su código SMS.
2. Robando las credenciales de PayPal: En un segundo experimento similar, Jake le apostó a un amigo que podría secuestrar una de sus cuentas en línea. Esta vez fue a la página de inicio de sesión de PayPal para solicitar un restablecimiento de contraseña. Conociendo el correo electrónico del usuario, lo escribió y seleccionó la opción de verificación de seguridad vía código SMS enviado a su teléfono. De manera similar al ejemplo anterior, Jake pudo observar encubiertamente en el dispositivo de su compañero mientras el código parpadeaba y de esta manera logró acceder a la cuenta de PayPal de su amigo.
En estos casos un atacante necesitaría obtener el correo electrónico de una víctima, ya sea mirando por encima de su hombro o encontrando esta información previamente. Luego, tendría que acercarse al usuario para captar ese código de confirmación cuando llega al dispositivo de la víctima. Una oficina o escuela, o un entorno en que quienes estén presentes sepan algún dato del otro, son el lugar perfecto. Si un atacante tiene sus ojos puestos en una persona que permanece en un lugar público durante un tiempo suficiente, se puede pensar que en algún momento tendrá la posibilidad de detectar cuál es su dirección de correo electrónico.
Según ESET, lo primero que debe quedar claro es que las barreras de seguridad, en muchos casos, son demasiado fáciles de saltar para los actores maliciosos. Especialmente alguien tiene los ojos puestos encima de una laptop o teléfono. Una vez que un criminal tiene acceso a una cuenta, podría:
Cambiar las credenciales de inicio de sesión y luego extorsionar a las víctimas que quieren recuperar el acceso
