"SHOULDER SURFING:  "CUANDO LA MIRADA NOS HACE UNA MALA JUGADA"

 un dia en un banco en el cual no dire nombres pero fue aqui dentro de mexico ,  pero el otro dia estaba realizando algunas transacciones cuando de una manera un tanto extraña un individuo de unos 30-35 años de edad estaba viendo por encima del hombro las transacciones que hacia una señora ya en una edad mayor unos 50-63 años aproximadamente,  entonces se me vino ala mente realizar esta entrada sobre una pequeña investigacion y resumen o analisis de esta clasica tecnica tambien considerada como una tecnica del "hacking" y una importante subrama de la ingenieria social.
es por ello que algunos sistemas y todos los sistemas de autenticacion deben de tener ciertas medidas de seguridad para los ojos de los curiosos.
recuerdo que a finales de los años 90s algunos sistemas importantes como de controles de inventarios no tenian este tipo de proteccion, pues alguien con mucha facilidad podia rapidamente ver por encima del hombro y ver las contraseñas ya sea con artilugios electronicos como camaras con buena resolucion y zoom o con aparatos de espionaje,  pero hoy dia esta tecnica esta casi desfasada porque?  pues porque todos los sistemas utilizan asteriscos, tokens, etc.  o no?? NO.!
esta tecnica aun es eficaz ya que podemos hacer un reconocimiento o un escaneo en la vida real.
podriamos por ejemplo en un pentesting  primero ver lo que escribe la secretaria en un determinado departamento de la empresa ala que le realizaremos pentesting y de ahi ir buscando las direcciones ip que puso la secretaria,  ir buscando como se llama x recursos de red compartido,  como se llama el departamento,  cual es el sistema operativo que usa, etc.
en una ocasion yo vi como desarmaban un cajero automatico, logre ver el fabricante principal del cajero automatico y  lo apunte rapidamente dentro de mis notas en mi tableta.
rapidamente hise una busqueda en google y me encontre con los siguiente:
imaginaos el caos?  imagina por un momento que conozco como funciona el cajero automatico, y peor aun que me hago pasar mediante ingenieria social por algun empleado de los proveedores de cajeros o en una reunion tecnica sobre los cajeros automaticos, facilmente puedo conseguir informacion mas acerca de su funcionamiento y puedo ir estudiando como es que operan los cajeros automaticos de una determinada zona geografica o de un determinado proveedor.
 aunque en alguns empresas existen rigurosos controles de seguridad bien prefijados lo cierto es que solo engañando ala cadena mas debil de la seguridad informatica es facil acceder desde afuera.


CONTRAMEDIDAS:
la ingenieria social y el shoulder surfing son dos ataques  muy poderosos que pueden ser devastadores para cualquier organizacion,  las unicas contramedidas serian concientizar mediante reuniones y evaluaciones de amenazas constantes dentro de la organizacion.
las siguientes tips podrian ayudar dentro de una evaluacion de amenazas y riesgos dentr de una organizacion:

• Concientizacion De Personal  En La Desconfianza De Activos
• Seguridad fisica Por Medio de algo que se tiene (Biometria, tarjeta,Token, etc)
•  Securizacion Del Perimetro De la red.
• Mecanismos De Seguridad  En formularios (Asteriscos,  Autoborrado, bloquear pantalla)
•  Utilizacion De Tokens de seguridad de un solo uso
• No dejar nada en el escritorio (contraseñas de acceso,  contactos, nombres, telefonos)
• Asignacion de IDS unicos a cada empleado de la organizacion
• Uso de vigilancia constante en la entrada (camaras, cctvs, sensores proximidad, etc)
•  Tener planes de respuesta a incidentes dentro de la organizacion

REFERENCIAS Y ENLACES:
https://es.wikipedia.org/wiki/Mirar_por_encima_del_hombro 

acceso no autorizado evidencias digitales footprinting ingenieria social pentesting pentesting mobil shoulder surfing.