Mientras las estafas digitales no paren de crecer y cada vez más gente es víctima de ciberdelitos, una vieja técnica de engaño virtual vuelve a ser tendencia. Se trata del clickjacking, una especie de ciberataque que induce al usuario para que haga click en un elemento de una página web que es invisible o está disfrazado de otra cosa.
Esta técnica, relacionada con las diferentes opciones para programar y diseñar sitios de internet, está ganando terreno rápidamente debido a su sutileza y capacidad para pasar desapercibida.
Leé también: Ciberseguridad: las 6 claves para detectar emails fraudulentos y evitar estafas virtuales
Con esta modalidad de engaño, los ciberdelincuentes pueden hacer que sus víctimas descarguen malware sin darse cuenta, visiten páginas web maliciosas, proporcionen credenciales o información confidencial, y hasta transfieran dinero o compren productos en línea.
Qué es el clickjacking y cómo funciona
El clickjacking es una técnica de ciberestafa que busca engañar a los usuarios haciéndoles creer que están haciendo click en una cosa cuando en realidad están clickeando otra.
Conocida también como Redireccionamiento de la interfaz de usuario, se realiza mostrando una página invisible o un elemento HTML, dentro de un iframe, encima de la página que ve el usuario. Así, el usuario cree que está haciendo clic en la página visible, pero en realidad está sobre en un elemento transparente de la página enmarcada encima de la original.
En concreto, las víctimas creen que están utilizando la interfaz de usuario normal de una página web, pero en realidad están actuando sobre la interfaz invisible.
Cuál es objetivo del clickjacking
El clickjacking en sí no es el objetivo final de la ciberestafa, sino que es simplemente un medio para lanzar algún otro ataque haciendo creer a los usuarios que están haciendo algo seguro.
El ataque real puede ser prácticamente cualquier cosa posible a través de páginas web. Esto va desde acciones maliciosas, como la instalación de malware o el robo de credenciales, hasta cosas más inocuas, como aumentar las estadísticas de clicks, aumentar los ingresos por publicidad en sitios, conseguir likes en Facebook o aumentar las visualizaciones de videos de YouTube.
Cómo funciona el clickjacking
Este engaño es posible gracias a los marcos HTML (iframes), una herramienta de programación que tiene la capacidad de mostrar páginas web dentro de otros sitios a través de marcos.
Si una web permite que se pueda visualizar dentro de uno de estos marcos, un hacker puede cubrir la página web original con una capa oculta y transparente con su propio código (por ejemplo JavaScript) y elementos de interfaz de usuario.
Leé también: 5 consejos de un hacker para protegerse de amenazas digitales
Así, el atacante engaña a las víctimas para que visiten la página maliciosa, que tiene el mismo aspecto que un sitio que los usuarios conocen y en el que confían. Al navegar, no hay ninguna indicación de que haya una interfaz de usuario oculta sobre el sitio original.
Al hacer click en un enlace o un botón, esperando una acción concreta del sitio original, las víctimas, sin darse cuenta, ejecutan en su lugar el script del atacante.
Existen diversas variantes del ataque clickjacking
- Likejacking: técnica de manipulación en redes sociales para que los usuarios le den Me gusta a una página que en realidad no tenían intención de hacerlo.
- Cursorjacking: técnica de redireccionamiento de la interfaz de usuario que cambia el cursor de la posición que percibe el usuario a otra posición. El cursorjacking se basaba en vulnerabilidades de Flash (el sistema de creación y reproducción multimedia de Adobe) y del navegador Firefox, que ya han sido corregidas.
- Filejacking: en este caso, los marcos sobre los botones Subir o Descargar archivos, provocan que las víctimas descarguen un virus o les den acceso involuntariamente a los ciberdelincuentes a sus archivos.
Cómo Detectar el clickjacking
Detectar este fraude puede ser un desafío, ya que los elementos maliciosos están diseñados para ser invisibles. Sin embargo, estas son algunas señales de advertencia que pueden indicar que estás siendo víctima de un ataque de clickjacking:
- Comportamiento inusual
Si experimentás un comportamiento inusual en una página web, como hacer click en un enlace que no debería llevar a ninguna parte o ver cambios en tu configuración de privacidad sin motivo aparente.
- Confirmá antes de hacer click
Antes de hacer click en cualquier botón o enlace en una página web desconocida, pasá el cursor sobre él sin hacer click. Esto revelará la URL a la que te dirigirás. Si la dirección te parece sospechosa o no coincide con la página que estás viendo, es un signo de alerta.
Leé también: Hackers Rojos, usan sus conocimientos para detectar fallas de seguridad y podrían ser el trabajo del futuro
Cómo evitar el clickjacking
No existen defensas perfectas contra el clickjacking, pero desde el lado del usuario hay varias medidas y prácticas de seguridad que se pueden tomar para evitar caer en esta estafa o detectarla. Por ejemplo:
- Mantener siempre actualizado el navegador
Así podrás estar cubierto con las últimas medidas de seguridad implementadas por los desarrolladores.
- Utilizar algún software de seguridad
Puede ser un antivirus o firewall para detectar y bloquear amenazas potenciales.
- Instalar extensiones de seguridad en el navegador
Estos programitas ofrecen funcionalidades de seguridad, como bloqueadores de scripts y filtros de contenido web.
Leé también: Las 10 tendencias de ataques y estafas virtuales de las que hay que cuidarse en 2023
- Verificar la URL/dirección web de los enlaces antes de hacer click en ellos
Así, podrás asegurarte corresponde al sitio web legítimo al que querés acceder.
- Navegá por HTTPS
Corroborá que el sitio en el que estás navegando sea HTTPS (ofrecen una capa adicional de seguridad) y no HTTP.
- Prestar atención a los pop-ups (ventanas emergentes) y anuncios
No es recomendable hacer click en ellos, principalmente si piden que completes formularios con información personal.
