jorgesdb
Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
El shoulder surfing (mirar por encima del hombro) ocurre cuando alguien observa o graba lo que haces en una pantalla o teclado para robar contraseñas, códigos o información sensible. Sucede en estaciones, aeropuertos, cafeterías, oficinas abiertas y cajeros automáticos. No siempre es un ladrón obvio: a veces es alguien con un móvil tomando un vídeo o una persona que simplemente “curiosea”.
Se trata de un "deporte" que mucha gente de mi sector practica, especialmente en eventos de ciberseguridad, sin maldad alguna, tan solo se anotan usuarios y claves en un post-it que se entregan a la "víctima" como advertencia de su comportamiento poco seguro.
Se trata de un "deporte" que mucha gente de mi sector practica, especialmente en eventos de ciberseguridad, sin maldad alguna, tan solo se anotan usuarios y claves en un post-it que se entregan a la "víctima" como advertencia de su comportamiento poco seguro.
Riesgos concretos
- Robo de contraseñas, códigos de 2FA o PIN de tarjetas.
- Acceso a correos, apps bancarias o redes sociales.
- Grabación de patrones de tecleo o gestos que permiten deducir contraseñas.
- Captura de pantallas con información sensible (mensajes, documentos, correos).
Cómo protegerte — medidas prácticas y fáciles
1) Entorno y postura
- Si puedes elegir asiento: siéntate con la espalda hacia una pared o hacia el pasillo, no hacia el centro de la sala.
- Evita usar ordenador o consultar datos sensibles en zonas muy concurridas (colas, metro en hora punta).
- En cafeterías o aeropuertos, busca una mesa “de espaldas a la pared” o en una esquina.
2) Bloquea la vista físicamente
- Usa la mano o el cuerpo para cubrir el teclado o la pantalla mientras escribes un PIN o contraseña en público.
- En cajeros y TPV, cúbrete con la mano al teclear el PIN, o usa tarjetas contactless en tu dispositivo móvil, al autenticarte con la huella antes del pago, te ahorras poner el PIN.
- Si alguien se acerca demasiado, cierra la pantalla o disimula (por ejemplo, abre una app no sensible o ponle la imagen de David Hasselhoff ligero de ropa de la que hablamos en otro hilo.).
3) Reduce la exposición de la pantalla
- Baja el brillo y ajusta el ángulo de la pantalla para que sea legible solo frontalmente.
- Activa el bloqueo automático rápido (por ejemplo 15–30 s) para que la pantalla se apague si te distraes.
- Oculta notificaciones en la pantalla de bloqueo para que no se vea contenido sensible.
4) Usa filtros físicos de privacidad (screen protectors)
- Los protectores de privacidad limitan el ángulo de visión: sólo quien está de frente ve el contenido; desde los lados la pantalla queda oscura.
- Marcas y opciones comunes: 3M, Targus o protectores específicos para tu modelo. Hay versiones para móviles, tablets y portátiles.
- Hay filtros adhesivos y magnéticos; elige según uso y calidad óptica (los baratos distorsionan mucho la visión).
5) Minimiza la escritura en público
- No teclees contraseñas largas en público; usa el gestor de contraseñas para autocompletar con un solo clic.
- Activa desbloqueo biométrico (huella/FaceID) para no escribir tu contraseña cada vez.
- En el caso de códigos temporales (OTP), usa una app de autenticación en el mismo dispositivo pero cúbrela al introducir el código.
6) Protege el tecleo
- Si necesitas teclear en público, tapa el teclado con la mano y teclea rápido. Evita pauses largas que permitan grabar cada tecla.
- Desconfía de personas que estén “curioseando” con el móvil apuntando en tu dirección; si te preocupa, interpón un objeto o cambia de sitio. El truco de parecer estarse sacando un selfie es otra manera de grabarte a traición.
7) Para PINs y cajeros
- Evita cajeros aislados y poco iluminados.
- Elige cajeros con teclado empotrado y visera física.
- Considera pagar con contactless/NFC si es posible (reduce el uso de PIN en pequeñas cantidades o en todas si usas tu tarjeta en alguna app como Apply Pay, Samsung Pay, Google Pay, etc.).
- Si la máquina parece manipulada (lector flojo, pegatinas extrañas, sobresale más de lo habitual), no la uses y notifícalo al banco. He visto carátulas de cajero completas que daban el pego, solo sobresalían un poco más de lo habitual de la pared.
8) Contraseñas y gestores
- Usa un gestor de contraseñas y deja que autocompletar rellene credenciales; reduce así el tiempo y la exposición al teclear.
- Nunca compartas contraseñas ni las dictes en voz alta en público.
- Activa 2FA con llaves físicas si trabajas con datos muy sensibles (WebAuthn/U2F), así aunque alguien vea la contraseña, no podrá acceder sin la llave.
9) Prevención contra grabaciones con cámara
- Al usar apps que muestran datos sensibles (correo, apps bancarias, documentos), revisa si alguien está grabando con el móvil. Si ves una cámara apuntando, ponte a resguardo.
- Evita videollamadas de contenido sensible en lugares públicos, y no compartas pantallas en reuniones donde hay cámaras no controladas.
10) Para empresas y oficinas
- Diseña espacios de trabajo con pantallas orientadas hacia dentro o con mamparas.
- Proporciona filtros de privacidad y políticas sobre pantallas en zonas comunes.
- Usa bloqueo automático corto y exige autenticación fuerte para acceso a apps sensibles.
- Formación para personal: enseñar el gesto de cubrir el teclado y revisar el entorno.
Herramientas y gadgets útiles
- Protectores de privacidad para pantalla (3M, Targus, y modelos genéricos de buena calidad).
- Fundas con tapa para tablets que limitan el ángulo de visión.
- Pegatinas o cubre-cámaras para webcams cuando no se usan (impiden grabaciones frontales).
- Gestores de contraseñas (autocompletado) y llaves físicas (YubiKey, Titan) para reducir entradas manuales.
Qué NO hacer
- No teclees contraseñas enteras frente a otras personas.
- No dictes códigos OTP por teléfono si hay gente escuchando.
- No confíes en que “nadie” presta atención; los ataques de shoulder surfing pueden ser oportunistas o deliberados.
Resumen rápido
- Siéntate con la espalda a la pared cuando trabajes en público.
- Usa protector de privacidad en portátil o móvil.
- Baja brillo y activa bloqueo automático corto.
- Usa gestor de contraseñas y biometría para evitar teclear.
- Cubre el teclado al introducir PIN o contraseñas.
- Evita introducir datos sensibles si ves cámaras o personas apuntando.
- Reporta comportamientos sospechosos (en cafeterías, transporte, recepción).
