El surf de hombros es una práctica que implica la observación de un individuo y la recopilación de información sin el conocimiento o consentimiento del individuo que está siendo observado. El nombre de este proceso se refiere a la práctica de mirar por encima del hombro de otra persona para determinar qué está haciendo. A pesar del nombre, las personas involucradas en el acto de surfear hombros no necesariamente tienen que estar físicamente cerca o mirar por encima del hombro de otra persona para recopilar información en secreto.

En la mayoría de las situaciones, el surf de hombros se refiere a una actividad relacionada con la obtención de información patentada que el observador puede usar más tarde para su propio beneficio. Por ejemplo, un estafador puede estar en el lugar ideal para observar a un individuo mientras ingresa un número de identificación personal (PIN) en un cajero automático. Al observar la serie de pulsaciones de teclas, el ladrón puede determinar la secuencia del código y anotarla para su uso futuro. Suponiendo que el ladrón pueda acceder más tarde a la tarjeta de débito asociada con ese PIN, él o ella podrá retirar fondos de la cuenta adjunta a voluntad.

En las líneas de pago abarrotadas, la navegación por los hombros también puede emplearse como un medio para leer rápidamente los números de cuenta y capturar códigos PIN para su uso posterior. El advenimiento de cámaras pequeñas que se pueden operar sin previo aviso en realidad puede crear un registro visual de una transacción. En un momento posterior, ese video se puede usar para identificar la información financiera necesaria y permitir a los ladrones utilizar los datos para realizar compras no autorizadas en línea.

Una versión electrónica de la navegación en el hombro permite capturar pulsaciones de teclas a medida que los compradores ingresan datos financieros como un medio para realizar una compra en línea. El software malicioso que rompe los protocolos de seguridad del sitio web captura cada pulsación de tecla realizada por el comprador y luego la graba para uso futuro. El resultado final es el uso no autorizado de tarjetas de débito y crédito para realizar compras de las que el propietario de la cuenta no sabe nada hasta que llegue el extracto de la tarjeta o el emisor de la tarjeta advierta algo inusual y suspenda más compras, en espera de una investigación.

Con el uso cada vez mayor de tarjetas de débito y crédito en lugar de efectivo o cheques, la oportunidad de convertirse en una víctima del hombro es mayor que nunca. Algunos comerciantes han tomado medidas para proporcionar protección en los terminales de la tarjeta para que sea más difícil para otros leer la información de la tarjeta o ver qué teclas presiona el usuario final. Muchos comerciantes también alentarán a los compradores a colocar la parte superior del cuerpo en un ángulo que inhiba la visión de cualquier persona que se encuentre cerca, lo que dificultará que alguien vea exactamente qué datos está ingresando el comprador en el terminal del punto de servicio (POS).