Ciberseguridad ¿Qué es el shoulder surfing?

Vamos a seguir hablando un poco de ciberseguridad y vamos con formas de ataque que no requieren de ningún conocimiento técnico, como cuando hace unos días vimos en qué consistía la técnica de la «manguera de goma«. Hoy hablaremos del «shoulder surfing«, empezando con un ejemplo real, algo anecdótico pero que será un buen inicio:

Principios de 2015, al salir del trabajo me estoy tomando una cerveza en la barra del bar donde trabaja una amiga mía y charlamos animadamente, pues no hay más clientes. Me pregunta algunas cosas sobre ciberseguridad porque sabe que soy programador y hace poco ha visto a Chema Alonso en la tele, en una entrevista, y piensa que hay mucho sensacionalismo con la seguridad informática, que se montan «muchas películas» sobre el tema, pero que realmente no es tan fácil realizar un ataque informático. Le pregunto si me invita a la cerveza si logro desbloquear su teléfono, acepta estando segura de que no podré. Me da el teléfono y lo desbloqueo al momento, birra gratis. ¿Cómo he logrado desbloquearlo? Pues haciendo uso de esta técnica del «Shoulder surfing«, que en castellano podríamos traducir como «mirar por encima del hombro«: bloqueaba su teléfono con un código numérico, solo tuve que fijarme en qué números había pulsado, me había quedado cierta duda con el último dígito, pero era fácil deducirlo porque era su año de nacimiento. Conste que ella reclamó diciendo que «eso no es un ataque informático, solo has visto la contraseña«, pero independientemente del método usado yo había logrado acceder a su dispositivo.

Imagen con ejemplo de espionaje
Photo by Noelle Otto on Pexels.com

Aunque pueda sonar como algo mundano, como algo que podríamos llamar cutre, obtener una contraseña por mera observación es bastante simple y más habitual de lo que creemos. Suele encuadrarse dentro de la llamada «ingeniería social«, pero yo hasta pienso que calificarlo de ingeniería en muchos casos es demasiado. Si bien es cierto que en casos de espionaje se ha recurrido a algunas medidas técnicas (cámaras ocultas o prismáticos), lo más habitual suele ser que simplemente el atacante se coloque cerca de su víctima y observe cómo teclea el código para acceder.

¿Cómo nos protegemos de este ataque?

Bueno, como comentamos en la entrada sobre ataques contra contraseñas, las opciones de activar la validación por múltiples factores o de usar un gestor de contraseñas son importantes. Para el desbloqueo de dispositivos móviles se puede contar con el desbloqueo por reconocimiento facial o por huella dactilar. En este caso, además, tendríamos que sumar como medida de seguridad el asegurarnos de que nadie está viendo nuestra pantalla ni nuestras manos al teclear e intentar no hacerlo en lugares públicos y llenos de gente (la barra de un bar, el transporte público, etc.)

Protección de datos: Derecho de acceso ¿en qué consiste?

El derecho de acceso viene recogido tanto en la RGPD europea, en su artículo 15, como en la LOPDGDD española. Este derecho nos garantiza el poder obtener información del tratamiento que se realiza sobre nuestros datos personales. En el caso de que se esté realizando dicho tratamiento, podremos obtener la siguiente información:

  • La identidad del responsable del tratamiento.
  • Los fines del tratamiento y las categorías de datos personales que se traten.
  • Una copia de nuestros datos personales.
  • Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales.
  • La verificación de si se han enviado nuestros datos a países fuera del Espacio Económico Europeo y, en caso de que se haya hecho, las garantías que se han aplicado a ese tratamiento.
  • El plazo previsto de conservación de los datos.
  • En que caso de que los datos personales no se hayan obtenido directamente de nosotros, cualquier información disponible sobre su origen.
  • La existencia de decisiones automatizadas, como la elaboración de perfiles e información significativa sobre la lógica aplicada y las posibles consecuencias previstas de ese tratamiento para nosotros.

Además, el responsable del tratamiento deberá informarnos de la posibilidad de interponer una reclamación ante una autoridad de control (en españa al AEPD) y de poder ejercer nuestros derechos de oposición, rectificación, limitación del tratamiento o supresión de dichos datos.

Al igual que comentábamos con el derecho de supresión, el derecho de acceso no es ilimitado y existen una serie de supuestos en los que no podremos ejercerlo, que será cuando los datos sean tratados para los siguientes fines:

  • Seguridad y defensa del Estado.
  • Prevención, detección, investigación o enjuiciamiento de acciones penales.
  • En el ejercicio de las labores de supervisión y control por parte de autoridades públicas.
  • En procedimientos judiciales tanto penales como civiles.
  • En caso de que entren en conflicto con la protección de los derechos de otros.

El responsable del tratamiento deberá responde a nuestra solicitud en el plazo de un mes, tanto si existen datos como si no, aunque el plazo podrá alargarse dos meses dependiendo de la complejidad y la carga de trabajo. El ejercicio de este derecho será gratuito, aunque podrá exigirse un pago por él o rechazarse la solicitud en caso de que se haga un uso repetitivo o abusivo del mismo (imaginad que un grupo de gente para atacar a una empresa mandara una solicitud de acceso a sus datos cada hora). Ojo, porque si ejercemos este derecho más de dos veces en un plazo de seis meses se podrá considerar como repetitivo.

Como siempre, a través del a AEPD tenemos disponible un formulario en PDF para ejercer nuestro derecho.

Protección de datos: Derecho de supresión ¿En qué consiste?

El derecho de supresion viene recogido en el artículo 17 del RGPD y básicamente nos garantiza que podremos solicitar al responsable del tratamiento de nuestros datos personales que los elimine y este tendrá que hacerlo, siempre que se cumplan ciertas circunstancias:

  • Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recopilados, o si el fin del tratamiento ha cambiado.
  • Si el tratamiento se basaba solo en tu consentimiento y lo has retirado.
  • Si previamente has ejercido tu derecho de oposición para solicitar que no se ejecute el tratamiento.
  • Si tus datos se consiguieron de forma ilegal o se trataron de forma ilícita.
  • Si la información se procesa a través de la oferta servicios de la sociedad de la información a un menor de edad.
  • Si deben eliminarse para cumplir con una obligación legal establecida por el derecho de la UE o de algún estado miembro.

Este derecho fue uno de los más comentados cuando se lanzó el reglamento pues se permite aplicarlo de manera específica a los buscadores de internet, una práctica que se conoció como «derecho al olvido«, que permite eliminar nuestros datos de los resultados de las búsquedas de, por ejemplo, Google o DuckDuckGo y que levantó cierta polémica en su momento, pues se considera que este derecho puede entrar en colisión con los derechos a la libertad de información y libertad de expresión.

También hay que puntualizar que este derecho no es ilimitado, la supresión de los datos no será posible cuando estos sean necesarios para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones, además de los derechos a la libertad de información y de expresión mencionados ya en el párrafo sobre buscadores.

Para ejercitar este decho la AEPD nos facilita desde su web un formulario que podemos cubrir para ejercer este derecho.

Protección de datos: Derecho a la portabilidad ¿Qué es?

Creo que ya comenté por ahí atrás que estaba estudiando algo de protección de datos y que habría alguna entrada sobre eso. Hoy vamos a hablar del derecho a la portabilidad.

¿En qué consiste? Bueno, como ya sabéis el RGPD recogía que tenemos derecho a acceder a los datos que hemos proporcionado a un proveedor de servicios de la información, que esto debemos poder hacerlo de una forma sencilla y que nos los deben proporcionar en un formato estructurado de uso común y lectura mecánica (por lo que he comprobado suelen enviarlos en formatos HTML, XML y alguna vez he visto algún JSON o CSV). Este derecho de acceso es complementado y ampliado por el derecho a la portabilidad, que implica que podamos solicitar al responsable del tratamiento de nuestros datos que estos sean transmitidos a otro proveedor de servicios. ¿Sabes cuándo entras en Spotify usando tu cuenta de Facebook o de Google? A nivel legal se estaría aplicando este derecho, aunque en ese ejemplo se haría de forma transparente para el usuario. De forma más directa podríamos pensar en cuando cambiamos de compañía telefónica y esta tiene que pasar no solo nuestro número sino varios de nuestros datos a nuestro nuevo proveedor.

La idea de este derecho era dar mayor capacidad a los usuarios «para trasladar, copiar o transmitir sus datos de un entorno informático a otro» (citando a la AEPD) buscando de esta forma reforzar la competencia entre servicios y facilitar los cambios de proveedores de servicios, permitiendo reutilizar los datos que ya hemos facilitado previamente a otro proveedor de servicios.

Este derecho puede ejercerse cuando el tratamiento de datos se realice por métodos automatizados, este esté basado en un contrato o en un consentimiento informado y cuando lo solicitemos con respecto a datos que nosotros, como usuarios, hayamos proporcionado a quien los esté tratando y que nos conciernan, incluídos datos derivados de su propia actividad de tratamiento. Por otra parte no hay que olvidar que este derecho no es aplicable a los datos que hayamos proporcionado sobre terceras personas o que hayan sido proporcionados al responsable del tratamiento de datos por terceras personas. El responsable del tratamiento de datos no podría en ningún caso poner trabas o impedimentos legales, técnicos o financieros siempre que la transmisión de los datos de proveedor a proveedor sea posible técnicamente y siempre que el derecho de la Unión Europea lo permita. Además, el responsable del tratamiento deberá garantizar la seguridad en la entrega de los datos. Debemos recordar que la solicitud de portabilidad de nuestros datos no implica su borrado.

Si tienes una empresa que realice tratamientos de datos la AEPD recomienda que desarrolles una interfaz de descarga para estas peticiones de tus usuarios... Y ojito con incumplir esta norma, porque las sanciones pueden llegar a los 20 millones de euros.