«Clickjacking»: el engaño del clic

Se trata de una técnica delictiva basada en atacar a los usuarios cuando acceden a una web maliciosa
Por Antonio Delgado 10 de marzo de 2009
Img clickjacking portada
Imagen: Phil Whitehouse

El “clickjacking” es una estratagema para engañar al usuario haciéndole pulsar sobre un enlace o botón en apariencia inofensivo cuando en realidad lo hace sobre otro enlace controlado por terceros. Se trata de una amenaza para la seguridad informática que explota una vulnerabilidad del sistema operativo o el navegador del usuario, presentando una página falsa e invitándole a realizar una acción para tomar el control del sistema.

Estos ataques buscan un agujero para colarse en el sistema del usuario, aunque en general precisan antes de una acción de confirmación u otra acción del usuario que les abra las puertas a la vulnerabilidad. Para conseguir esto, se presenta una página web que simula ser un sitio inofensivo, incitando al usuario a que pulse sobre un hipervínculo o un botón. Inmediatamente, se desencadena la infección del sistema y la realización de acciones no previstas por el usuario, pues los ciberdelincuentes toman el control. Así, se puede producir una divulgación de información personal del usuario o el envío masivo de mensajes no deseados desde el ordenador.

A veces los ciberdelincuentes ni siquiera utilizan agujeros de seguridad del sistema, sino que simplemente provocan la pulsación del usuario con el fin de manipular encuestas, sistemas de votaciones o enviar spam al resto de contactos de una red social, sin que el internauta sea consciente de la acción que ha realizado.

En ocasiones los ciberdelincuentes simplemente provocan la pulsación del usuario con el fin de manipular encuestas o enviar spam de forma masiva

Los códigos maliciosos se suelen camuflar con una página web externa de apariencia inofensiva y dentro de una capa, o «iframe«, invisible por debajo de la página que se muestra al usuario. Los ciberdelincuentes hacen coincidir una zona donde el usuario tiene que realizar una acción con un elemento de la página camuflada, de modo que desencadena la puesta en marcha del ataque. Por ejemplo, en este blog se muestra a modo de ejemplo, para la comprensión de este tipo de ataques, la votación en un sistema de noticias simulando ser un botón rojo de otra página web.

Protección frente a «clickjacking»

Para protegerse de los «clickjacking», al igual que de cualquier otro riesgo que ponga en compromiso la seguridad del ordenador de los usuarios, lo más importante es tener actualizado el sistema operativo y los navegadores web en sus últimas versiones. Sin embargo, esto no asegura al cien por cien estar libre de estas técnicas maliciosas. Sólo los usuarios que utilizan navegadores en modo texto como Lynx, Links o W3M están a salvo, ya que estos navegadores no ejecutan aplicaciones ni elementos realizados en javascript.

En Firefox, los usuarios pueden instalar la extensión NoScript, que permite controlar todo lo que va a ejecutar una página web al acceder a ella

Algunos navegadores como Firefox u Opera pueden disponer de una protección extra, que les otorgue una defensa más eficaz frente a ataques de «clickjacking». En Firefox, los usuarios pueden instalar la extensión NoScript, que permite controlar todo lo que va a ejecutar una página web al acceder a ella, como códigos Javascript, extensiones y objetos realizados en flash. NoScript funciona mediante el uso delistas blancas; es decir, el usuario añade manualmente aquellos sitios web de confianza donde está permitida la ejecución de estos códigos. En el resto de sitios, el usuario deberá validar cada acción que realice en dichas páginas.

En Opera, la solución más sencilla pasa por deshabilitar el apartado «Mostrar información contenida en iframes» mediante la configuración de extensiones. Esto se hace accediendo desde la barra del navegador a «opera:config» o desmarcando «todas las opciones» en el apartado de «Contenidos», dentro del menú de Herramientas.

«Clickjacking» en redes sociales

El pasado 12 de febrero se extendió rápidamente enTwitterun enlace a modo de broma que consistía en una página web que simulaba tener un botón con el texto en inglés «Don’t click» (No hagas clic). El falso botón era un enlace para la publicación de un mensaje, de forma automática al pulsar el botón, en la cuenta del usuario de Twitter que ofrecía el enlace a la misma página web.

Este tipo de ataques deja en entredicho la confianza que se tiene en otros internautas a la hora de pulsar sobre un enlace y realizar acciones desconocidas

Para que el ataque funcionase, el usuario tenía que tener activada su sesión de Twitter en otra pestaña del navegador. Esta acción consiguió un efecto viral en muy pocas horas, enviándose miles de mensajes en la popular plataforma de «microblogging». Esta «broma», como la han calificado sus autores, fue inspirada a raíz de un artículo publicado por un blogger francés, que comentó las posibilidades de realizar una acción masiva en esta red social.

El problema fue solucionado rápidamente por los creadores de Twitter, quienes han desarrollado nuevos mecanismos para que esta acción no vuelva a repetirse en el futuro. Sin embargo, aunque en este caso se trate de un ataque inofensivo para los usuarios, deja en entredicho la confianza que se tiene en otros internautas dentro de Twitter a la hora de pulsar sobre un enlace y realizar acciones con un objetivo desconocido.

Sigue a Consumer en Instagram, X, Threads, Facebook, Linkedin o Youtube