Saltar o menú de navegación e ir ao contido

EROSKI CONSUMER, o diario do consumidor

Buscador

logotipo de fundación

Canles de EROSKI CONSUMER


Estás na seguinte localización: Portada > Novas tecnoloxías > Internet e telecomunicacións

Este artigo foi traducido por un sistema de tradución automática. Máis información, aquí.

“Clickjacking”: o engano do clic

Trátase dunha técnica delituosa baseada en atacar aos usuarios cando acceden a unha web maliciosa

O “clickjacking” éunha estrataxema para enganar aousuario facéndolle pulsar sobre unha ligazón ou botónen aparencia inofensivo cando en realidade o fai sobre outra ligazóncontrolada por terceiros. Trátase dunha ameaza paraa seguridade informática que explota unha vulnerabilidade dosistema operativo ou o navegador do usuario, presentando unha páxinafalsa e convidándolle a realizar unha acción para tomar ocontrol do sistema.

Estes ataques buscan un buraco para coarse no
sistema do usuario, aínda que en xeral precisan antes dunha acción de
confirmación ou outra acción do usuario que lles abra as
portas á vulnerabilidade. Para conseguir isto, preséntase unha
páxina web que simula ser un sitio inofensivo, incitando ao
usuario a que pulse sobre unha hiperligazón ou un botón.
Inmediatamente, desencadéase a infección do sistema e a
realización de accións non previstas polo usuario, pois os
ciberdelincuentes toman o control. Así, pódese producir unha
divulgación de información persoal do usuario ou o
envío masivo de mensaxes non desexadas desde o computador.


Ás veces os ciberdelincuentes nin sequera utilizan buracos de
seguridade do sistema, senón que simplemente provocan a pulsación
do usuario co fin de manipular enquisas, sistemas de votacións
ou enviar spam ao resto de contactos dunha rede social, sen que o
internauta sexa consciente da acción que realizou.


En ocasións os ciberdelincuentes simplemente provocan a pulsación do usuario co fin de manipular enquisas ou enviar spam de forma masiva

Os códigos maliciosos adóitanse camuflar cunha páxina
web externa de aparencia inofensiva e dentro dunha capa, ou
iframe“,
invisible por baixo da páxina que se mostra ao usuario.
Os ciberdelincuentes fan coincidir unha zona onde o usuario ten
que realizar unha acción cun elemento da páxina
camuflada, de modo que desencadea a posta en marcha do ataque.
Por exemplo, en
este blogue móstrase a modo de exemplo
, para a comprensión
deste tipo de ataques, a votación nun sistema de noticias
simulando ser un botón vermello doutra páxina web.


Protección fronte a clickjacking. “”

Para protexerse dos “clickjacking”, do mesmo xeito que de
calquera outro risco que poña en compromiso a seguridade do
computador dos usuarios, o máis importante é ter
actualizado o sistema operativo e a navegadores web nas súas últimas
versións. Con todo, isto non asegura ao cento por cento estar libre
destas técnicas maliciosas. Só os usuarios que
utilizan navegadores en modo texto como Lynx, Links ou W3M están
a salvo, xa que estes navegadores non executan aplicacións nin
elementos realizados en javascript.


En Firefox, os usuarios poden instalar a extensión NoScript, que permite controlar todo o que vai executar unha páxina web ao acceder a ela

Algúns navegadores como Firefox ou Opera poden dispor dunha
protección extra, que lles outorgue unha defensa máis
eficaz fronte a ataques de clickjacking “”. En Firefox, os
usuarios poden instalar a extensión NoScript,
que permite controlar todo o que vai executar unha páxina web
ao acceder a ela, como códigos Javascript, extensións e
obxectos realizados en flash. NoScript funciona mediante o uso de
listas
brancas;
é dicir, o usuario engade manualmente aqueles
sitios web de confianza onde está permitida a execución
destes códigos. No resto de sitios, o usuario deberá
validar cada acción que realice nas devanditas páxinas.


En Opera, a solución máis sinxela pasa por
deshabilitar o apartado “Mostrar información contida
en iframes” mediante a configuración de extensións.
Isto faise accedendo desde a barra do navegador a opera:config. “”
ou desmarcando “todas as opcións” no apartado de
“Contidos”, dentro do menú de Ferramentas.


“Clickjacking” en redes sociais

O pasado 12 de febreiro estendeuse rapidamente en
Twitter
unha ligazón a modo de broma que consistía nunha páxina
web que simulaba ter un botón co texto en inglés
“Don’t click” (Non fagas clic). O falso botón
era unha ligazón para a publicación dunha mensaxe, de forma
automática ao pulsar o botón, na conta do usuario
de Twitter que ofrecía a ligazón á mesma páxina web.

Este tipo de ataques deixa en dúbida a confianza que se ten noutros internautas á hora de pulsar sobre unha ligazón e realizar accións descoñecidas

Para que o ataque funcionase, o usuario tiña que ter
activada a súa sesión de Twitter noutra pestana do
navegador. Esta acción conseguiu un efecto viral en moi
poucas horas, enviándose
miles de mensaxes
na popular plataforma de microblogging “”.
Esta broma “”, como a cualificaron os seus autores, foi
inspirada por mor dun.
artigo
publicado por un blogger francés, que
comentou as posibilidades de realizar unha acción masiva
nesta rede social.


O problema foi solucionado
rapidamente polos creadores de Twitter, quen han
desenvolvido novos mecanismos para que esta acción non volva
a repetirse no futuro. Con todo, aínda que neste caso trátese
dun ataque inofensivo
para os usuarios, deixa en dúbida a confianza que se ten en
outros internautas dentro de Twitter á hora de pulsar sobre un
ligazón e realizar accións cun obxectivo descoñecido.

Pódeche interesar:

Infografía | Fotografías | Investigacións