Clickjacking": el engaño
del clic
Se trata de una técnica delictiva basada
en atacar a los usuarios cuando acceden a una web maliciosa
El
"clickjacking" es una estratagema para engañar al usuario haciéndole
pulsar sobre un enlace o botón en apariencia inofensivo cuando en realidad lo
hace sobre otro enlace controlado por terceros. Se trata de una amenaza para la
seguridad informática que explota una vulnerabilidad del sistema operativo o el
navegador del usuario, presentando una página falsa e invitándole a realizar
una acción para tomar el control del sistema.
· Por ANTONIO DELGADO
· 10 de marzo de 2009
Estos
ataques buscan un agujero para colarse en el sistema del usuario, aunque en
general precisan antes de una acción de confirmación u otra acción del usuario
que les abra las puertas a la vulnerabilidad. Para conseguir esto, se presenta
una página web que simula ser un sitio inofensivo, incitando al usuario a que
pulse sobre un hipervínculo o un botón. Inmediatamente, se desencadena la
infección del sistema y la realización de acciones no previstas por el usuario,
pues los ciberdelincuentes toman el control. Así, se puede producir una
divulgación de información personal del usuario o el envío masivo de mensajes
no deseados desde el ordenador.
A
veces los ciberdelincuentes ni siquiera utilizan agujeros de seguridad del
sistema, sino que simplemente provocan la pulsación del usuario con el fin de
manipular encuestas, sistemas de votaciones o enviar spam al resto de contactos
de una red social, sin que el internauta sea consciente de la acción que ha
realizado.
En
ocasiones los ciberdelincuentes simplemente provocan la pulsación del usuario
con el fin de manipular encuestas o enviar spam de forma masiva
Los
códigos maliciosos se suelen camuflar con una página web externa de apariencia
inofensiva y dentro de una capa, o "iframe", invisible por debajo de la página que se
muestra al usuario. Los ciberdelincuentes hacen coincidir una zona donde el
usuario tiene que realizar una acción con un elemento de la página camuflada,
de modo que desencadena la puesta en marcha del ataque. Por ejemplo, en
este blog se muestra a modo de ejemplo,
para la comprensión de este tipo de ataques, la votación en un sistema de
noticias simulando ser un botón rojo de otra página web.
Protección frente a "clickjacking"
Para
protegerse de los "clickjacking", al igual que de cualquier otro
riesgo que ponga en compromiso la seguridad del ordenador de los usuarios, lo
más importante es tener actualizado el sistema operativo y los navegadores web
en sus últimas versiones. Sin embargo, esto no asegura al cien por cien estar
libre de estas técnicas maliciosas. Sólo los usuarios que utilizan navegadores
en modo texto como Lynx, Links o W3M están a salvo, ya que estos navegadores no
ejecutan aplicaciones ni elementos realizados en javascript.
En
Firefox, los usuarios pueden instalar la extensión NoScript, que permite
controlar todo lo que va a ejecutar una página web al acceder a ella
Algunos
navegadores como Firefox u Opera pueden disponer de una protección extra, que
les otorgue una defensa más eficaz frente a ataques de
"clickjacking". En Firefox, los usuarios pueden instalar la extensión
NoScript,
que permite controlar todo lo que va a ejecutar una página web al acceder a
ella, como códigos Javascript, extensiones y objetos realizados en flash.
NoScript funciona mediante el uso de listas blancas;
es decir, el usuario añade manualmente aquellos sitios web de confianza donde
está permitida la ejecución de estos códigos. En el resto de sitios, el usuario
deberá validar cada acción que realice en dichas páginas.
En
Opera, la solución más sencilla pasa por deshabilitar el apartado "Mostrar
información contenida en iframes" mediante la configuración de
extensiones. Esto se hace accediendo desde la barra del navegador a
"opera:config" o desmarcando "todas las opciones" en el
apartado de "Contenidos", dentro del menú de Herramientas.
"Clickjacking" en redes sociales
El
pasado 12 de febrero se extendió rápidamente en Twitter
un enlace a modo de broma que consistía en una página web que simulaba tener un
botón con el texto en inglés "Don't click" (No hagas clic). El falso
botón era un enlace para la publicación de un mensaje, de forma automática al
pulsar el botón, en la cuenta del usuario de Twitter que ofrecía el enlace a la
misma página web.
Este
tipo de ataques deja en entredicho la confianza que se tiene en otros
internautas a la hora de pulsar sobre un enlace y realizar acciones
desconocidas
Para
que el ataque funcionase, el usuario tenía que tener activada su sesión de
Twitter en otra pestaña del navegador. Esta acción consiguió un efecto viral en
muy pocas horas, enviándose miles de mensajes en la popular plataforma de
"microblogging". Esta "broma", como la han calificado sus
autores, fue inspirada a raíz de un artículo
publicado por un blogger francés, que comentó las posibilidades de realizar una
acción masiva en esta red social.
El
problema fue solucionado rápidamente por los creadores de Twitter, quienes han
desarrollado nuevos mecanismos para que esta acción no vuelva a repetirse en el
futuro. Sin embargo, aunque en este caso se trate de un ataque inofensivo para
los usuarios, deja en entredicho la confianza que se tiene en otros internautas
dentro de Twitter a la hora de pulsar sobre un enlace y realizar acciones con
un objetivo desconocido.
Comentarios