Clickjacking, una técnica maliciosa para engañar a usuarios de las redes sociales
¿Alguna vez escuchó hablar de clickjacking? Se trata de una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su ordenador cuando hacen clic en páginas web aparentemente inocentes
En las últimas semanas, varios usuarios de Facebook y WhatsApp, entre otros, denunciaban el hackeo de sus cuentas o una ‘interferencia’ a sus redes sociales, con fines ilícitos, por parte de terceros.
¿Alguna vez escuchó hablar de clickjacking? Se trata de una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su ordenador cuando hacen clic en páginas web aparentemente inocentes.
Por ejemplo, un ataque que resulta no tan invasivo a la privacidad del usuario en Facebook, se da cuando el mismo ve un video interesante y al querer compartir, en realidad le da un “Me gusta” a otra página.
De igual forma, en la red social X, más conocida como Twitter, un tweet parece contener un enlace a una noticia importante. Cuando el usuario hace clic en el enlace, en realidad están dando "Me gusta" o "Retwitteando" el tweet sin su consentimiento.
En otra red social como es Instagram, que trabaja con muchas imágenes, al querer ver una imagen con detalle, puede existir un botón de compartir y como el usuario no se percata al ser invisible para él, comparte la imagen sin darse cuenta.
Estos ejemplos ponen en evidencia situaciones de engaño de clickjacking donde se realizan acciones no deseadas por los usuarios.
Qué es el clickjacking
Carlos Draugialis, docente de la carrera de Ingeniería de Sistemas de la Universidad Franz Tamayo, Unifranz, indica que el clickjacking es una técnica maliciosa de engaño en la que un atacante oculta o superpone elementos dentro de una página web para engañar a los usuarios dándoles confianza para navegar y que luego estos usuarios hagan clic en elementos diferentes de lo que realmente creen que están haciendo clic.
“El objetivo principal del clickjacking es obtener información confidencial, como contraseñas, o realizar acciones no deseadas en nombre del usuario sin su conocimiento o consentimiento. En una frase muy común podemos decir que nos dan gato por liebre”, puntualiza.
Sin embargo, para comprender mejor este concepto se hace necesario hablar, también, de lo que es la ingeniería social y el "UI redressing".
Si bien no tiene un concepto definido, según Draugialis, la ingeniería social hace referencia a una técnica de ataque que utiliza la manipulación psicológica de las personas para obtener algo de ellos, por lo general información. “Se habla de generar confianza en el usuario para que diga, haga o ejecute algo que permita al atacante obtener lo que está buscando”.
En tanto, el "UI redressing", básicamente, es una técnica de ataque que se utiliza en el contexto de clickjacking. La abreviatura ‘UI’ se refiere a "Interfaz de Usuario" (User Interface en inglés), y "redressing" significa alterar o manipular.
Una de las acciones principales para evitar este
tipo de ataques es mantener el software siempre actualizado
Tipos de clickjacking
Cuando se habla de los tipos de clickJacking se pueden citar muchos y responde más a la imaginación de quienes van desarrollando diferentes tácticas o herramientas.
Uno es el clickjacking de redireccionamiento, que redirige al usuario a otra página web maliciosa mientras el usuario hace clic en un enlace aparentemente seguro e inofensivo en una página que es legítima.
Otro es el Clickjacking básico en el cual un atacante superpone un elemento invisible, como un botón o enlace, en la parte superior de una página web que es legítima. “En este caso, el usuario inocente cree que está haciendo clic en algo que está en la página visible, pero en realidad está haciendo clic en el elemento superpuesto”, puntualiza el docente universitario.
Uno que es bastante popular es el clickjacking de me gusta o compartir en redes sociales, sobre todo en Facebook. Consiste en superponer botones de "Me gusta" o "Compartir" de las diferentes redes sociales en contenido atractivo. En este caso, cuando el usuario hace clic en ese contenido, en realidad no realiza la acción buscada, sino que interactúa con los botones de redes sociales sin su consentimiento, compartiendo contenido no deseado en sus perfiles.
Otro elemento que sonó bastante es el clickjacking de descargas donde se superpone un botón de descarga en una página web legítima. En el momento en el cual el usuario hace clic pensando que está descargando un archivo legítimo, en realidad están descargando malware o software malicioso.
En todos estos casos, el objetivo principal es el de engañar al usuario para que haga clic confiadamente y con esta acción realice la tarea que busca el atacante.
Cómo se puede evitar el clickjacking
Una de las acciones principales para evitar este tipo de ataques es mantener el software siempre actualizado, disponer en lo posible de la última versión del navegador web, del sistema operativo y plugins. Esto asegura que se disponga de las correcciones que ofrecen los desarrolladores, fabricantes y encargados de buscar vulnerabilidades. Adicionalmente, es bueno considerar el tener las defensas del navegador activas y bien configuradas.
Ante cualquier duda se recomienda revisar una URL. “Por ejemplo, cuando damos clic en algún enlace, en la barra de direcciones aparezca el dominio que esperamos, y si tienes dudas mejor evitar utilizar estos enlaces. Existen herramientas adicionales de seguridad como los firewalls de aplicaciones web, pero siempre la primera barrera y más importante eres tú como usuario”, dice el académico.
Usuarios a merced de los atacantes
Cuando el usuario cae en un ataque de este tipo, lo primero que pierde es el control de lo que está haciendo, porque está a merced de los engaños del atacante. En estos casos, la toma de decisiones se ve afectada.
Por otro lado, muchas veces este tipo de engaño lleva al usuario a la divulgación de información personal y que podría inducir a las víctimas a ingresar sus contraseñas, números de tarjeta de crédito u otra información sensible en formularios ocultos.
Otra consecuencia negativa es que da acceso no autorizado a cuentas en línea, y si el atacante consigue que el usuario instale algún malware (programa maligno) en su equipo (computadora) accederá a los recursos de ésta, como ancho de banda, potencia de procesamiento lo cual es hacer tareas en su computadora para beneficio del atacante hasta tener acceso a los diferentes archivos del computador.
Draugialis explica que, uno de los daños más importantes, es a la reputación y privacidad del usuario, porque las víctimas se ven involucradas en acciones en línea no deseadas o su información personal se expone públicamente.
Por ese motivo, recomienda a los usuarios tener cautela al navegar, cambiar permanentemente las contraseñas para que éstas sean lo más seguras posibles, utilizando números, letras mayúsculas y minúsculas y símbolos permitidos, “de esa manera mejoramos la seguridad de nuestros datos en la red”.
