¿Qué es clickjacking? Una explicación sencilla del secuestro de clics

Clickjacking es una técnica de piratería que funciona a través de páginas web y enlaces fraudulentos. Los ciberdelincuentes incluyen contenido malicioso en sitios web que parecen seguros, a simple vista, nadie sospecha que está a punto de poner en grave riesgo su seguridad digital.

Estos elementos invisibles reciben el nombre de iframe, y son peligrosos porque están vinculados a páginas web cuyo objetivo es robar datos personales o infectar dispositivos con malware. La particularidad del iframe es que son capaces de incorporar cierto material que en realidad no está vinculado al sitio web en el que está oculto, de modo que se manipula la voluntad del cibernauta.

Estos son algunos ejemplos de elementos de secuestro de clics y cuál es la intención del ciberdelincuente:

• Descargar malware en un dispositivo sin que el usuario lo sepa. El botón que contenía el enlace parecía ser seguro, mantenía el mismo formato que la página y la CTA era adecuada. Este caso podría darse a la hora de descargar una guía en PDF, pero finalmente el contenido que se descarga es malicioso.
• Difundir gusanos en las redes sociales y otras plataformas. Los enlaces falsos también se pueden difundir a través de los perfiles de redes sociales. Un post en Facebook o un mensaje enviado por WhatsApp podrían incluir un link con un anchor text muy llamativo, por lo que los usuarios terminan accediendo a una web insegura. Resulta imprescindible saber cuáles son los riesgos de las redes sociales.
• Dirigir al usuario a un sitio web malicioso. Los links ocultos vinculan el contenido legítimo de un sitio web a una página diseñada para las estafas online.
• Recopilar las credenciales de inicio de sesión. Se puede dar la situación en la que, cuando un cliente ingresa sus credenciales para empezar sus compras en línea, los ciberdelincuentes de secuestros de clics crean un efecto espejo sobre la página de ingreso, por lo que recopilan su contraseña y nombre de usuario. Los clientes desconocen que hay una capa extra entre los campos a cubrir y la tienda en línea.
• Activar la webcam o el micrófono. Accidentalmente, las víctimas de clickjacking terminan activando la cámara de su portátil o el micrófono, entregando su intimidad a los hackers que posteriormente pueden volver a atacar a estos usuarios usando técnicas de sextorsión, entre otras.
• Comprar un producto no deseado. Sin duda, los ciberdelincuentes sienten un enorme interés por los datos bancarios de los cibernautas. Por eso, de forma similar al robo de contraseñas, el clickjacking puede terminar con las compras no autorizadas de ciertos servicios o productos.

Caso práctico de un secuestro de clics: Un usuario online encuentra una ventana emergente con una gran oferta. El anuncio dice lo siguiente: “Disfruta de unas vacaciones en Cancún con un 70% de descuento”. Sin perder tiempo, ingresa los datos que se solicitan y, al hacer clic en “Hacer la reserva”, se dirige a una web maliciosa y se da cuenta de que han robado sus datos bancarios.

El secuestro de clics adopta diferentes formas. Aprende a diferenciar estas 7 variaciones para reforzar tu seguridad digital, especialmente cuando estés realizando compras en línea.

Manipular el cursor del ratón sin autorización del usuario es el tipo de ataque clickjacking más clásico. Se diseñó para aprovecharse de las vulnerabilidades y los fallos de Adobe Flash o Firefox. Es decir, al otro lado de la pantalla, una persona cree estar haciendo clic en lo que realmente quiere, pero lo cierto es que el PC no responde a sus comandos.

La imagen del cursor manipulado ya está corregida, pero causó daños importantes. En la actualidad, las técnicas de secuestro de clics se han vuelto más sofisticadas, de manera que es fundamental comenzar a usar herramientas de ciberseguridad y ponérselo más difícil a los estafadores en línea.

Instala la mejor VPN para proteger tus dispositivos y los de tu familia.

El clickjacking sin navegador sigue una estructura similar al secuestro de clics clásico, explicado en el apartado anterior, aunque hay una diferencia significativa: se centra en apps y programas que no necesitan un buscador web para funcionar. Por ejemplo, es común ver estas prácticas delictivas en smartphones Android.

Se basan en las milésimas de segundo que pasan entre la emisión de una alerta emergente y su aparición en pantalla. En esa demora, casi insignificante, el hacker incorpora un elemento fraudulento por debajo de la ventana de aviso. En otras palabras, el usuario de Android estará haciendo clic en un link falso en lugar de una notificación legítima.

Los elementos iFrames, que volvemos a recalcar que son invisibles y maliciosos, se suelen incorporar en formularios de inicios de sesión. El usuario introduce su clave secreta, así como el correo electrónico o nickname de la plataforma, desconociendo que simultáneamente un hacker está recopilando dichos datos. El clickjacking es peligroso por su capacidad para disfrazarse y permanecer oculto en una página web.

Un ejemplo claro en el que podemos ser víctimas de los secuestro de clics lo vemos cuando guardamos las contraseñas en los navegadores web. El autocompletado es una función conveniente porque ahorra tiempo a los cibernautas, además de recordar por ellos mismos cuál es la clave personal, pero lo recomendable es emplear un gestor de contraseñas como NordPass porque guarda la información en una bóveda encriptada.

Las cookies que se toman de la barra de direcciones web también son importantes para que un ataque clickjacking tenga éxito. Te recomendamos borrar la memoria caché, ya que este engaño se basa en conseguir que la víctima ejecute una operación relacionada con las cookies que parece inofensiva.

No obstante, si detrás hay un ataque de clickjacking, lo que se hará será enviar los datos de las cookies al hacker. Con dicha información en poder de un experto en el cibercrimen, se puede proceder a robar la identidad digital de la víctima.

El mousejack es una amenaza para los teclados y ratones sin conexión Bluetooth. Con este sistema, se detectan las transmisiones del dispositivo a través del cable USB. Este ataque informático se podría combinar con keylogger, una práctica que mide las pulsaciones sobre el teclado.

El robo de archivos se puede realizar mediante ataques filejacking, capaces de atravesar las barreras de seguridad de un equipo. La clave está en engañar al usuario para que cree un servidor de archivos operativos utilizando la interfaz de selección de carpetas del navegador. Una vez dentro de la carpeta, el ciberdelincuente puede robar la información privada.

Quizá desconozcas el peligro que hay detrás de un simple “me gusta” en Facebook. Los estafadores en línea que operan a través de las redes sociales buscan la información confidencial de los usuarios: fechas de nacimiento, nombres completos, imágenes familiares… Cuantas más veces se pulse el botón “me gusta” de una publicación, mayor alcance conseguirá la misma.

Para no terminar siendo la víctima de un ataque clickjacking se recomienda aplicar los métodos que explicamos a continuación:

Server-Side (el lado del servidor)

Los ataques de secuestro de clics no dañan de forma directa un sitio web, pero el contenido sí que puede ser utilizado por un hacker para tareas poco éticas. Por ejemplo, después de extraer la información del sitio web, el ciberdelincuente podría crear una página con una URL similar y hacerla pasar por la verdadera.

Para evitar el clickjacking y no verse en esta situación, sigue este consejo: usa un encabezado HTTP. Esta opción ofrece mayores garantías de seguridad. Por ejemplo, es posible incluir una lista con los dominios que no pueden incrustar elementos en el sitio web o emplear el dominio en beneficio propio. Además, se recomienda la eliminación de fotogramas, cuya configuración es sencilla y entrega una gran protección contra el secuestro de clics.

Client-Side (del lado del cliente)

Los clientes de tiendas electrónicas que estén preocupados por los ataques de clickjacking, cuentan con la opción de instalar extensiones en el navegador para protegerse contra esta amenaza. Hay disponibles diversas extensiones según el buscador que se utilice: ClearClick de NoScript para Mozilla Firefox o bien NoClickjack para Google Chrome, Opera y Microsoft Edge. Todas ellas son gratuitas.

Ahora que sabes qué es clickjacking y por qué supone una amenaza, además de los métodos de protección mencionados, recomendamos encriptar el tráfico online de tus dispositivos electrónicos.