Otro tipo de ataque relacionado con la ingenuidad de los usuarios del sistema
(pero también con el control de acceso físico)
es el denominado shoulder surfing. Consiste en `espiar' físicamente
a los usuarios, para obtener generalmente claves de acceso al sistema. Por
ejemplo, una medida que lamentablemente utilizan muchos usuarios para recordar
sus contraseñas es apuntarlas en un papel pegado al monitor de su PC o
escribirlas en la parte de abajo del teclado; cualquiera que pase por delante
del puesto de trabajo, sin problemas puede leer el login, password
e incluso el nombre de máquina a la que pertenecen. Esto, que nos puede
parecer una gran tontería, por desgracia no lo es, y se utiliza más de
lo que muchos administradores o responsables de seguridad piensan; y no sólo
en entornos `privados' o con un control de acceso restringido, como pueda ser
una sala de operaciones de un centro de cálculo, sino en lugares a los que
cualquiera puede llegar sin ninguna acreditación: personalmente, hace unos
años pude leer claramente `post-it' pegados a los monitores de los PCs
utilizados por el personal de información de unos grandes almacenes de
Valencia, en los que aparecían el nombre de usuario, la clave y el
teléfono de
varios sistemas de la empresa; cualquiera que se acercase al mostrador
podía leer y memorizar esta información sin problemas.
El shoulder surfing no siempre se ve beneficiado por la ingenuidad de
los simples usuarios de un equipo; en determinadas ocasiones son los propios
programadores (gente que teóricamente ha de saber algo más sobre seguridad
que el personal de administración o de atención al público) los que
diseñan aplicaciones muy susceptibles de sufrir ataques de este tipo. Por
ejemplo, en ciertas aplicaciones - especialmente algunas que se ejecutan
sobre MS Windows, y que son más o menos antiguas - muestran claramente en
pantalla las contraseñas al ser
tecleadas. Cualquiera situado cerca de una persona que las está utilizando
puede leer claramente esa clave; un perfecto ejemplo de lo que NO se
debe hacer nunca.
© 2002 Antonio Villalón Huerta
