Qué es y cómo prevenir el clickjacking

El clickjacking es una técnica de ataque que facilita el robo de información privada hasta el punto de que para perpetrarlo solo requiere el registro en una aplicación. El clickjacking permite a los hackers insertar una capa de interfaz de usuario invisible entre la yema del dedo y el contenido que se muestra en la pantalla del dispositivo.

Tras introducir el ID y la contraseña, el usuario puede pensar, por ejemplo, que está viendo la pantalla de su aplicación bancaria. Sin embargo, es posible que lo que esté viendo realmente sea una réplica de la pantalla superpuesta a la verdadera información bancaria.

El banco no comprueba la información privada que introduce el usuario, sino que esta información se dirige a los servidores de archivos que los cibercriminales utilizan para robar datos de acceso a la cuenta bancaria en cuestión.

Ejemplos de clickjacking

Según ha publicado Panda, los ataques de clickjacking han tenido éxito contra grandes empresas como Facebook, Twitter y PayPal. Sin embargo, también afirma que este tipo de ataques en línea pueden dirigirse a usuarios individuales.

Según esta compañía, un ataque de clickjacking puede desarrollarse así:

• Los usuarios abren y cargan un sitio o página web.
• Aparecerán botones atractivos como ‘Juegue ahora’ o ‘Gane un viaje gratis’.
• Los usuarios intentarán hacer clic en un botón.
• Pero en realidad harán clic en el marco transparente o secuestrado.
• Los usuarios seguirán el enlace del delincuente, lo que puede conducir a la transferencia de fondos al hacker, a la eliminación de la cuenta o a cualquier otro tipo de acción negativa.

Tipos de clickjacking

Siguiendo con la información que facilita Panda, el objetivo de los ataques de clickjacking es bastante sencillo: engañar al usuario para que haga clic en un botón o enlace malicioso. Sin embargo, hay diferentes variantes de clickjacking que los ciberdelincuentes utilizan para alcanzar este resultado:

Clickjacking sin navegador

Aquí los hackers colocan un icono falso entre el momento en que se emite una alerta emergente y el momento en que aparece en pantalla. Es común en los smartphones Android.

Likejacking

Los botones ‘Me gusta’ de las páginas de redes sociales son pirateados y hacen que los usuarios interactúen con páginas y perfiles no deseados o peligrosos.

Cursorjacking

Los ciberdelincuentes enmascaran la ubicación del cursor del usuario. Así, puede mostrar un puntero desplazado respecto al real y hacer que el usuario pulse un enlace no deseado.

Cookiejacking

Los piratas informáticos roban las cookies de un usuario, que contienen datos confidenciales que pueden utilizarse para imitarlo.

Filejacking

Los hackers colocan marcos sobre los botones ‘“’Examinar archivos’”’, lo que provoca que las víctimas den acceso involuntariamente a los ciberdelincuentes a sus archivos en línea.

Mousejacking

Los delincuentes controlan a distancia las funciones de un dispositivo y pueden hacer clic en elementos, escribir comandos y código.

Ataques de clickjacking: todo lo que debes saber

Clickjacking es una forma de ataque que busca engañar a los usuarios. Estos piensan que están haciendo clic en un acceso cuando en realidad están haciendo clic en otro. De este modo, los usuarios creen que están usando la interfaz de usuario normal de una página web, pero esta se ha trastocado y cuando los usuarios pinchan el enlace en algo que consideran que es seguro, la interfaz de usuario oculta realiza una acción diferente.

El enlace siguiente es lo que provoca el verdadero ataque. Este abarca desde acciones maliciosas, como instalar malware o robar credenciales, hasta otras más inofensivas, como aumentar las estadísticas de clics en sitios no relacionados, aumentar los ingresos por publicidad en sitios, obtener ‘Me gusta’ en Facebook o aumentar las vistas de vídeos de YouTube.

Volviendo a Panda como fuente de este tema, la compañía diferencia entre varios tipos de ataques:

Ataques autónomos

La mayoría de los ataques de clickjacking se consideran ataques autónomos porque se basan en una única acción. En estos casos, un usuario hace clic en un marco de página web invisible y realiza una acción desconocida o no autorizada.

Ataques de pasos múltiples

Similares a los autónomos, los ataques clickjacking de múltiples pasos utilizan acciones por parte del cliente para iniciar la amenaza. Estos ataques son precisos y requieren que los usuarios hagan clic en varios marcos invisibles para tener éxito. Por ejemplo, un hacker que quiera que un usuario realice una compra no autorizada debe configurar marcos adicionales que hagan que los usuarios añadan artículos a un carrito de la compra antes de su clic final.

Ataques combinados

Aunque muchos ataques de clickjacking son autónomos, también pueden utilizarse para ejecutar ataques combinados. En estos casos, los hackers consiguen engañar a los usuarios para que caigan en una primera trampa, que también puede ejecutar ataques maliciosos adicionales de mayor envergadura.

Los ataques de clickjacking y DOM XSS -ataques que se dirigen al código del cliente y hacen que las páginas web actúen de forma maliciosa- son ataques combinados comunes que modifican el código y ejecutan acciones no autorizadas en el lado del cliente.

Cómo evitar el clickjacking

Una de las consideraciones más evidentes es cómo protegerse de todo tipo de clickjacking. La respuesta es sencilla: evitar abrir correos electrónicos, anuncios y enlaces a sitios web sospechosos. Nunca instalar software de fuentes no verificadas.

Dado que el clickjacking se basa en prácticas engañosas de ingeniería social, aprender a detectarlas es su mejor defensa. Más allá de eso, hay que mantener todos los navegadores y sistemas operativos actualizados a sus últimas versiones. También instalar sólidas extensiones de seguridad del navegador y utilizar software antivirus moderno para asegurarse de no ser víctima de clickjacking y otros ciberataques peligrosos.

Prevención por parte de las empresas: guía paso a paso

Los ataques de clickjacking engañan al usuario para que haga clic involuntariamente en un elemento de la página web que es invisible o está disfrazado de otro elemento. Dado que los ataques de clickjacking no afectan al sitio web per se, es posible que las empresas no tomen en serio estas vulnerabilidades.

Los ataques de clickjacking engañan al usuario para que haga clic involuntariamente en un elemento de la página web que es invisible

Un sitio web se puede defender contra ataques de clickjacking mediante la prevención del lado del cliente o del servidor. Desde el lado del cliente existen varios métodos principales para prevenir el clickjacking, todos ellos relacionados con el navegador.

API de observador de intersección

Si bien no puede controlar qué navegadores utilizan sus usuarios, la mayoría de los navegadores modernos ya admiten la API Intersection Observer, que puede visualizar los elementos de destino. De este modo es posible saber si el contenido de una página web es visible para el usuario (incluso si se encuentra dentro de un iframe).

Extensiones contra el clickjacking

También hay algunos complementos de navegador diseñados para proteger contra el clickjacking, como NoScript y NoClickjack. Estos complementos no son compatibles con todos los navegadores, pero su popularidad está creciendo. Sin embargo, hay que tener cuidado ya que podrían desactivar JavaScript, lo que conllevaría tener una mala experiencia de usuario de una página web.

Rotura de cuadros

La práctica de utilizar JavaScript para evitar que una página web se cargue en un marco se conoce como eliminación de marcos. Funciona incluso en navegadores más antiguos que no admiten métodos más nuevos, como la API Intersection Observer o el encabezado X-Frame-Options y CSP.

Los scripts de prevención se encuentran dentro de un navegador web. Posibilitan visualizar los marcos ‘invisibles’ de las páginas web y evitar el acceso.

Seguridad del correo electrónico

La solución que se propone en este caso es adoptar y utilizar un potente filtro de spam de correo electrónico y utilizarlo con frecuencia. Un ataque de clickjacking normalmente comienza engañando a un usuario para que visite un sitio web malicioso por correo electrónico. Esto se logra principalmente mediante el uso de correos electrónicos falsificados o especialmente diseñados que parecen ser completamente auténticos.

Al bloquear los correos electrónicos no autorizados, se reduce un posible vector de ataque para el clickjacking y una variedad de otros ataques. Es importante comunicar a los empleados que se ha implementado esta medida para que revisen su correo basura de forma regular.

Acciones preventivas por parte del servidor

Los expertos en seguridad confían y recomiendan los métodos del lado del servidor para la protección contra el clickjacking. Entre estos se encuentran las Opciones de marco X y la Política de Seguridad de Contenido.

Opción X-frame

La opción X-frame es un encabezado de respuesta HTTPS que ayuda a proteger los sitios web contra el clickjacking al establecer si una página se puede representar dentro de un iframe. Así, se utilizan diferentes comandos para poder controlar los iframes. Los 3 valores permitidos para el encabezado son:

DENEGAR: no permite que ningún dominio/sitio muestre la página dentro de un marco.

SAMEORIGIN: para permitir que solo el sitio web actual enmarque su contenido

PERMITIR DESDE: solo permite los marcos en en páginas alojadas en URL específicas.

Sin embargo, la seguridad proporcionada por las opciones de X-Frame es limitada y resulta ineficaz en sitios multidominio.

Política de Seguridad de Contenido

Por otro lado, figura la Política de Seguridad de Contenido (CSP), una política que utiliza encabezados o metaelementos para definir o restringir qué contenido se puede cargar en su sitio.

Puede aprovechar la directiva de marco CSP frame-ancestros para indicarle al navegador que no permita marcos de otros dominios.