No pedí nada. No hackeé nada. Ni siquiera saqué el teléfono. Solo miré al frente durante tres horas.
París-Rennes, TGV Inoui de las 14h22. Asiento junto a la ventana, lado derecho, vagón 14. Enfrente de mí, un tipo. Cuarentón, chaqueta sin corbata, AirPods. Saca el portátil en cuanto el tren sale de Montparnasse. Normal. Estamos en 2026, es lo que hacemos.
Lo que es menos normal es lo que hace con ese portátil.
En diez minutos, sin mover la cabeza, capté el nombre de su empresa (logo en la parte superior de la pantalla), el nombre de su cliente (carpeta abierta justo en medio del escritorio), el importe aproximado del contrato en curso (columna de Excel visible, cifras suficientemente grandes para leerlas desde el asiento de enfrente), y las iniciales de dos personas cuyo trabajo aparentemente no le gustaba, a juzgar por los comentarios en el documento.
Aclaro: no soy malintencionado. Solo estoy sentado.
Este escenario se llama shoulder surfing. Un término que suena a disciplina olímpica cuando en realidad es solo curiosidad pasiva con un buen ángulo de visión. No hace falta ser experto en ciberseguridad. No hace falta ningún equipo. Solo unos ojos y un asiento de tren cara a cara.
Lo fascinante es que este tipo probablemente había hecho una formación en ciberseguridad ese mismo año. Tenía un antivirus. Quizás una VPN. Una contraseña compleja, seguro. Había marcado todas las casillas de la política de seguridad de su empresa.
Y ahí estaba, exponiendo un contrato de cliente de 58.000 euros a todo el vagón 14.
Lo que aprendí sin esfuerzo:
Nombre de la empresa · Nombre del cliente · Rango presupuestario · Dos nombres internos · Un proveedor competidor citado en una celda · El hecho de que iba «atrasado en la sección 3»
El problema de la seguridad física es que es invisible en las auditorías. Se miden contraseñas, logs, accesos a la red. Nadie mide el ángulo de visión desde el asiento 42B.
Los filtros de privacidad para pantallas existen desde hace años. Cuestan unos veinte euros. Reducen el campo de visión lateral a unos 30 grados. No es magia, pero es suficiente para que el vecino del tren vea una pantalla negra en lugar de los datos de tus clientes.
No está en el presupuesto anual de formación. No está en la política de RGPD. Generalmente no está en las recomendaciones del CISO.
Y sin embargo es lo más sencillo del mundo.
En Rennes, guardó el portátil y se fue. No lo sabe. No le dije nada — no porque no fuera mi lugar, sino porque nadie dice nada en un tren.
Ese es el verdadero problema.
La próxima vez que abras un documento confidencial en transporte público, hazte solo una pregunta: ¿el tipo de enfrente tiene pinta de ser de los que leen?
La respuesta quizás te sorprenda.