¿Qué es el «clickjacking»?

El «clickjacking» ocurre cuando un ciberdelincuente engaña a un usuario para que haga clic en un elemento invisible de una página web, «secuestrando» sus clics con fines maliciosos.

Para ello, los atacantes colocan una capa transparente sobre una página legítima que, al hacer clic en ella, activa una operación maliciosa que se ejecuta en segundo plano. ¿Y lo peor de todo? No tienes ni idea de lo que está pasando.

El «clickjacking», también conocido como «UI redressing», se ha utilizado en el pasado para:

  • Robar contraseñas
  • Falsear «Me gusta» de Facebook
  • Promover estafas online y propagar malware engañando a la gente para que haga clic en enlaces de descarga maliciosos
  • Engañar a las personas para que enciendan su cámara web o micrófono

He aquí cómo funciona

Para garantizar el éxito de un ataque, es necesario seleccionar un elemento específico de la página web, como un enlace, un botón o un encabezado. Para lograr la máxima repercusión, los atacantes se centrarán en las zonas en las que es más probable que los usuarios hagan clic.

Por lo general, los sitios HTTP suelen convertirse en un campo de batalla para los ataques de «clickjacking», ya que carecen de la capa de seguridad de los sitios HTTPS.

Ejemplo 1 de «clickjacking»: robar tu dinero

Un atacante utiliza varias capas para engañarte y transferir tu dinero a su cuenta bancaria.

  1. Como cebo, el hacker presenta una página atractiva que te promete un viaje gratis a Bali si haces clic en el botón «Reservar mi viaje gratis».

  2. Mientra tanto, el hacker comprueba si has iniciado sesión en la web de tu banco. Si es así, se carga una página de transferencia bancaria invisible detrás de la supuesta página del viaje gratis. El hacker introduce sus datos bancarios en el formulario.

  3. El botón «Confirmar transferencia» está puesto justo sobre el botón «Reservar mi viaje gratis».

  4. Haces clic en el botón «Reservar mi viaje gratis» (que en realidad es el botón invisible «Confirmar transferencia») y, sin saberlo, transfieres el dinero directamente a la cuenta del hacker.

  5. Se te redirige a una página ficticia sobre tu supuesto «viaje gratis», que nada tiene que ver con lo que realmente ha pasado en el fondo.

Ejemplo 2 de «clickjacking»: falsear «Me gusta» de Facebook

Un atacante te engaña para que le de «Me gusta» a una página de Facebook sin que te des cuenta y conseguir de esta forma miles de seguidores reales.

  1. El atacante crea un sitio ficticio con un botón que dice «Haz clic aquí para volver a Google».

  2. En la parte superior de esta página, hay una página invisible cargada con el botón «Me gusta» justo sobre el botón «Haz clic aquí para volver a Google».

  3. Intentas hacer clic en el botón «Haz clic aquí para volver a Google», pero en su lugar haces clic en el botón invisible «Me gusta» de Facebook.

Ejemplo 3 de «clickjacking»: robar tus credenciales

Un hacker recoge tu nombre de usuario y contraseña superponiendo un cuadro de inicio de sesión falso sobre el verdadero.

  1. El atacante coloca una capa transparente sobre el sitio web legítimo, de forma que ambos campos de texto se superponen entre sí.

  2. Ahora, no puedes distinguir entre el campo de texto que ves y el campo idéntico que el atacante ha duplicado.

  3. Y, para más inri, escribes tu contraseña directamente en el campo invisible que el hacker ha superpuesto por encima del real. Sin embargo, todo lo que escribas estará oculto, por lo que la mayoría de las personas se huelen algo cuando no ven ningún carácter mientras escriben.

Pero ¿cuántos de nosotros escribimos las contraseñas y le damos al Enter sin levantar los ojos del teclado? Estos precisamente son los momentos que esperan los atacantes para sacarte las credenciales.

¿Qué diferencia hay entre «clickjacking» y «phishing»?

Las estafas de «phishing» son un poco diferentes del «clickjacking», ya que implican una comunicación directa con la víctima. Por lo general, un atacante envía un correo electrónico falso que imita a una empresa legítima y engaña a las personas para que respondan con información personal.

En otros casos, el correo electrónico contiene enlaces maliciosos a sitios web falsos o abre una ventana emergente que imita un sitio web legítimo. En realidad, se limita a recopilar tu información.

Mitigación

La mayoría de los navegadores protegen contra el «clickjacking» con la política del mismo origen. Esto significa que un navegador permitirá que las secuencias de comandos de una página web accedan a los datos de una segunda página, pero solo si ambas páginas tienen el mismo origen. El navegador comprueba el origen de las páginas comparando sus esquemas URI, nombres de host y números de puerto; todos estos deben coincidir.

Para evitar que los «clickjackers» intenten robar tu información confidencial, te recomendamos que empieces por un gestor de contraseñas. Por ejemplo, NordPass detecta sitios web poco seguros (como los sitios HTTP, del tipo que se utilizan normalmente en los ataques de «clickjacking») y notifica a los usuarios de que están a punto de acceder a un sitio web desprotegido.

Cada día se crean nuevas estafas para intentar sortear tu seguridad. En términos generales, evitar los sitios HTTP es una muy buena forma evitar una amplia gama de ciberataques, no solo el «clickjacking». Por suerte, NordPass te alerta sobre sitios web poco seguros, además de almacenar de forma segura tu información más confidencial.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.