Artigo traducido por un sistema de tradución automática. Máis información aquí.

“Clickjacking”: o engano do clic

Trátase dunha técnica delituosa baseada en atacar aos usuarios cando acceden a unha web maliciosa
Por Antonio Delgado 10 de Marzo de 2009
Img clickjacking portada
Imagen: Phil Whitehouse

O “clickjacking” éunha estrataxema para enganar aousuario facéndolle pulsar sobre unha ligazón ou botónen aparencia inofensivo cando en realidade o fai sobre outra ligazóncontrolada por terceiros. Trátase dunha ameaza paraa seguridade informática que explota unha vulnerabilidade dosistema operativo ou o navegador do usuario, presentando unha páxinafalsa e convidándolle a realizar unha acción para tomar ocontrol do sistema.

Estes ataques buscan un buraco para coarse nosistema do usuario, aínda que en xeral precisan antes dunha acción deconfirmación ou outra acción do usuario que lles abra asportas á vulnerabilidade. Para conseguir isto, preséntase unhapáxina web que simula ser un sitio inofensivo, incitando aousuario a que pulse sobre unha hiperligazón ou un botón.Inmediatamente, desencadéase a infección do sistema e arealización de accións non previstas polo usuario, pois osciberdelincuentes toman o control. Así, pódese producir unhadivulgación de información persoal do usuario ou oenvío masivo de mensaxes non desexadas desde o computador.

Ás veces os ciberdelincuentes nin sequera utilizan buracos deseguridade do sistema, senón que simplemente provocan a pulsacióndo usuario co fin de manipular enquisas, sistemas de votaciónsou enviar spam ao resto de contactos dunha rede social, sen que ointernauta sexa consciente da acción que realizou.

En ocasións os ciberdelincuentes simplemente provocan a pulsación do usuario co fin de manipular enquisas ou enviar spam de forma masiva

Os códigos maliciosos adóitanse camuflar cunha páxinaweb externa de aparencia inofensiva e dentro dunha capa, ou“iframe“,invisible por baixo da páxina que se mostra ao usuario.Os ciberdelincuentes fan coincidir unha zona onde o usuario tenque realizar unha acción cun elemento da páxinacamuflada, de modo que desencadea a posta en marcha do ataque.Por exemplo, eneste blogue móstrase a modo de exemplo, para a comprensióndeste tipo de ataques, a votación nun sistema de noticiassimulando ser un botón vermello doutra páxina web.

Protección fronte a clickjacking. “”

Para protexerse dos “clickjacking”, do mesmo xeito que decalquera outro risco que poña en compromiso a seguridade docomputador dos usuarios, o máis importante é teractualizado o sistema operativo e a navegadores web nas súas últimasversións. Con todo, isto non asegura ao cento por cento estar libredestas técnicas maliciosas. Só os usuarios queutilizan navegadores en modo texto como Lynx, Links ou W3M estána salvo, xa que estes navegadores non executan aplicacións ninelementos realizados en javascript.

En Firefox, os usuarios poden instalar a extensión NoScript, que permite controlar todo o que vai executar unha páxina web ao acceder a ela

Algúns navegadores como Firefox ou Opera poden dispor dunhaprotección extra, que lles outorgue unha defensa máiseficaz fronte a ataques de clickjacking “”. En Firefox, osusuarios poden instalar a extensión NoScript,que permite controlar todo o que vai executar unha páxina webao acceder a ela, como códigos Javascript, extensións eobxectos realizados en flash. NoScript funciona mediante o uso delistasbrancas; é dicir, o usuario engade manualmente aquelessitios web de confianza onde está permitida a execucióndestes códigos. No resto de sitios, o usuario deberávalidar cada acción que realice nas devanditas páxinas.

En Opera, a solución máis sinxela pasa pordeshabilitar o apartado “Mostrar información contidaen iframes” mediante a configuración de extensións.Isto faise accedendo desde a barra do navegador a opera:config. “”ou desmarcando “todas as opcións” no apartado de“Contidos”, dentro do menú de Ferramentas.

“Clickjacking” en redes sociais

O pasado 12 de febreiro estendeuse rapidamente enTwitterunha ligazón a modo de broma que consistía nunha páxinaweb que simulaba ter un botón co texto en inglés“Don’t click” (Non fagas clic). O falso botónera unha ligazón para a publicación dunha mensaxe, de formaautomática ao pulsar o botón, na conta do usuariode Twitter que ofrecía a ligazón á mesma páxina web.

Este tipo de ataques deixa en dúbida a confianza que se ten noutros internautas á hora de pulsar sobre unha ligazón e realizar accións descoñecidas

Para que o ataque funcionase, o usuario tiña que teractivada a súa sesión de Twitter noutra pestana donavegador. Esta acción conseguiu un efecto viral en moipoucas horas, enviándosemiles de mensaxes na popular plataforma de microblogging “”.Esta broma “”, como a cualificaron os seus autores, foiinspirada por mor dun. artigo publicado por un blogger francés, quecomentou as posibilidades de realizar unha acción masivanesta rede social.

O problema foi solucionadorapidamente polos creadores de Twitter, quen handesenvolvido novos mecanismos para que esta acción non volvaa repetirse no futuro. Con todo, aínda que neste caso trátese dun ataque inofensivopara os usuarios, deixa en dúbida a confianza que se ten enoutros internautas dentro de Twitter á hora de pulsar sobre unligazón e realizar accións cun obxectivo descoñecido.