¿Que es el Shoulder Surfing?

El Shoulder Surfing es otro tipo de ataque relacionado con la ingenuidad de los usuarios del sistema (pero también con el control de acceso físico) es el denominado shoulder surfing.

Consiste en `espiar' físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que lamentablemente utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su PC o escribirlas en la parte de abajo del teclado; cualquiera que pase por delante del puesto de trabajo, sin problemas puede leer el login, password e incluso el nombre de máquina a la que pertenecen.

Esto, que nos puede parecer una gran tontería, por desgracia no lo es, y se utiliza más de lo que muchos administradores o responsables de seguridad piensan; y no sólo en entornos `privados' o con un control de acceso restringido, como pueda ser una sala de operaciones de un centro de cálculo, sino en lugares a los que cualquiera puede llegar sin ninguna acreditación: personalmente, hace unos años pude leer claramente `post-it' pegados a los monitores de los PCs utilizados por el personal de información de unos grandes almacenes de Valencia, en los que aparecían el nombre de usuario, la clave y el teléfono de varios sistemas de la empresa; cualquiera que se acercase al mostrador podía leer y memorizar esta información sin problemas.