En Internet, debemos tener mucho cuidado a la hora de hacer «clic» en un enlace, imagen, vídeo, botón... ya que podríamos ser víctimas de clickjacking.

El clickjacking es una técnica fraudulenta utilizada en Internet que tiene como objetivo robar información personal del usuario o acceder a su equipo o dispositivo. Consiste en esconder bajo una página web con apariencia inocente e inofensiva enlaces fraudulentos, que si son pulsados por el usuario son capaces, entre otras cosas de ejecutar código malicioso en su equipo. Todo ello aprovechándose de un fallo de seguridad que tienen la mayoría de los navegadores web.

¿Cómo consiguen hacer esto?

Vamos a explicaros la idea de una forma más sencilla, comparándolo con un cristal como ya hicieron en su momento desde Infospyware: Imaginaos que estamos viendo un escaparate de una tienda de relojes. Si intentamos coger uno de los relojes nos damos cuenta que no podemos, está el cristal por delante, que nos deja verlo pero nos impide tocarlo.

Pues bien, volviendo al clickjacking, el contenido falso (iframe, código script, etc.) sería como el cristal, nos deja ver lo que hay debajo de él -una página web con aspecto inofensivo- pero si intentamos hacer clic en los elementos de la página, no podremos, sólo tocaremos la capa transparente maliciosa que será la encargada de realizar el mal: enviar nuestros datos a un servidor remoto, redirigirnos a otra web, robar nuestras credenciales de acceso a un servicio, infectar el ordenador con algún tipo de virus, etc.

Para que os quede más claro, os dejamos un ejemplo práctico (vídeo de Youtube):

Vídeo Youtube

¿Cómo podemos protegernos de esta técnica maliciosa?

  1. En primer lugar, configurando de forma correcta las opciones de seguridad que nos ofrecen los navegadores:

  2. En segundo lugar, si utilizamos Firefox para navegar por Internet, podemos instalar el complemento (plugin) NoScript que incluye una funcionalidad llamada «ClearClick», que explicado de forma llana, consiste en lanzar una ventana al usuario alertándole si ha hecho clic sobre un elemento de la web que se encuentra escondido. Si queréis más información sobre esto, podéis consultar el siguiente enlace: What is ClearClick and how does it protect me from Clickjacking?.

    Para el resto de navegadores, también hay complementos disponibles que realizan una función similar a la de NoScript.

  3. Y en tercer lugar:

    • Teniendo mucha precaución con las páginas que visitamos y con los enlaces que pulsamos. Sentido común.
    • Sospechando si alguna página web de las que frecuentamos, se comporta de forma extraña: solapa más de de una ventana cuando la abres, muestra elementos muy diferentes a lo habitual, etc.
    • Teniendo nuestros navegadores siempre actualizados.
    • Instalando herramientas de protección del ordenador: antivirus, analizadores de enlaces, etc.