¿Qué es el Clickjacking?

El Clickjacking, también conocido como ataque de clickjacking o clickjack, es un ataque cibernético en el que a través de enlaces ocultos se engaña a los usuarios para que realicen una acción no deseada que da lugar a la exposición de información confidencial y al hackeo.

Siga leyendo para comprender más sobre el clickjacking y cómo funciona.

Comprender el Clickjacking

En un clickjack, los usuarios harán clic en algo, en línea, esperando completar una acción sin darse cuenta de que el clic en realidad da lugar a una acción diferente y no deseada. Esto significa que los cibercriminales pueden engañarle para que descargue software malicioso (conocido como malware), exponga accidentalmente información de identificación personal (PII) confidencial o se enfrente a otras consecuencias graves.

El clickjacking se utiliza como medio para lanzar una variedad de ataques cibernéticos. Puede ser difícil de detectar y puede conseguir que los cibercriminales roben sus contraseñas o información confidencial, como cuentas bancarias, tarjetas de crédito y números de seguridad social. Los objetivos finales de la recopilación de esta información son robarle dinero, apoderarse de sus cuentas o robar su identidad.

Cómo funciona el Clickjacking

Los cibercriminales utilizan el clickjacking para engañarle manipulando lo que ve en la pantalla. Superponen campos invisibles sobre campos de aspecto legítimo para disfrazar la acción que está realizando. Esto puede ocurrir en todo un sitio web o en tan solo un anuncio emergente. A veces, el hacker incluso incrusta el sitio web legítimo dentro de su propio sitio para que se vea lo más real posible. Esto también se conoce como un sitio web falsificado.

Creyendo que está en un sitio legítimo, hará clic en cosas, ingresará sus credenciales o proporcionará cualquier otra información confidencial. Creerá que está completando acciones legítimas, pero los campos invisibles harán que descargue malware accidentalmente o envíe su información a los ciberdelincuentes.

Los cibercriminales le dirigen a su interfaz ilegítima publicando anuncios falsos que parece que conducen a sitios legítimos, enviándole correos electrónicos y textos falsos, publicando en las redes sociales o publicando ventanas emergentes infectadas.

Ejemplos de Clickjacking

Aquí tiene algunos ejemplos de cómo el clickjacking puede funcionar en el mundo real:

• El usuario recibe un correo electrónico de alguien que parece ser un sitio de redes sociales legítimo, como Facebook. Hacen clic en el enlace, que le conduce a un sitio falso que contiene el sitio real de Facebook en su interior. El usuario intenta iniciar sesión en su cuenta de Facebook introduciendo sus credenciales en los campos. Sin embargo, el sitio falso tiene campos invisibles superpuestos sobre los campos de Facebook, lo que permite al cibercriminal robar las credenciales del usuario.
• El usuario ve un anuncio que parece ser de una compañía bancaria conocida, como Chase. Deciden crear una cuenta, por lo que hacen clic en el anuncio que los lleva a un sitio web falso que contiene el sitio web de Chase en su interior. Intentan crear una cuenta rellenando información confidencial, como su número de seguridad social. Sin embargo, los campos invisibles que se superponen a los reales copiarán la información y la enviarán al cibercriminal.
• Una ventana emergente aparece mientras un usuario navega por un sitio web. El usuario hace clic en la “X” para cerrar la ventana emergente, pero la “X” es en realidad un enlace de descarga que instala software malicioso en el ordenador del usuario.

El impacto del Clickjacking

Si un clickjack tiene éxito, el cibercriminal puede robar información como PII o credenciales, o instalar malware en su dispositivo. Podría tratarse de cualquier tipo de malware, incluido spyware o un keylogger, un malware que roba las contraseñas de su navegador.

Ya sea que los ciberdelincuentes roben los datos ellos mismos o instalen software que robe los datos para ellos, el objetivo final es vender sus datos a otros ciberdelincuentes o usar los datos para robar dinero o su identidad.

Puede ser difícil y costoso demostrar que su identidad ha sido robada o que alguien se ha apoderado de su cuenta bancaria. Puede llevar años recuperarse completamente de este tipo de ataques.

Prevención de los ataques de clickjacking

La prevención de los ataques de clickjacking es responsabilidad del propietario del sitio web donde puede tener lugar el clickjacking. Existen métodos para evitar que los ciberdelincuentes puedan incrustar un sitio legítimo dentro de un sitio falso, como el uso de opciones de X-frame, un código que evita que los sitios web puedan incrustarse en un marco. Esto supondría un gran obstáculo para el éxito de un clickjack.

Los propietarios de sitios web también deben examinar cuidadosamente a los anunciantes potenciales en su sitio. Deben asegurarse de que cualquier anuncio que se publique en su sitio sea legítimo y no conduzca a un clickjacking.

Cómo pueden protegerse los usuarios

Si bien los propietarios de sitios web son los responsables de proteger a los usuarios, a veces cometen errores. Afortunadamente, los consejos básicos de seguridad en Internet pueden ayudarlo a protegerse del clickjacking.

• Navegue por sitios web de confianza. Los sitios conocidos y con mucho tráfico tienen más probabilidades de proteger adecuadamente a sus usuarios de ataques como el clickjacking.
• Navegue a los sitios web utilizando la URL oficial. Si no está seguro, busque en Google el sitio web. La URL legítima, también conocida como dirección del sitio web, debe ser el primer resultado del motor de búsqueda.
• Evite hacer clic en ventanas emergentes. Debido a que cualquier clic podría dar como resultado la descarga de malware, la forma más segura de evitar una ventana emergente es cerrar la ventana del navegador.
• Investigar la legitimidad de los correos electrónicos y textos urgentes. Los ciberdelincuentes utilizan a menudo un lenguaje que transmite una sensación de urgencia para evitar que se pare a comprobar si un mensaje es legítimo. Siempre contacte directamente al supuesto remitente con información de contacto oficial para ver si el mensaje vino de ellos realmente.
• Descargue las aplicaciones o archivos de lugares de confianza. Los enlaces aleatorios en línea para descargar archivos o aplicaciones podrían contener malware. Descargue siempre sus aplicaciones desde la App Store oficial de Apple o Google Play Store, incluso si resulta más caro.
• Sospeche siempre de los anuncios demasiado buenos para ser verdad. Los ciberdelincuentes suelen engañar a los usuarios para que hagan clic en sus anuncios dirigidos a sitios falsos a través de ofertas aparentemente sorprendentes, como grandes descuentos en artículos caros y populares.
• Utilice un gestor de contraseñas Muchos gestores de contraseñas cuentan con una función de autocompletar que solo funciona en la URL que guardas con la contraseña. Si se encuentra en un sitio web falsificado de una empresa con la que tiene una cuenta, su gestor de contraseñas no autocompletará sus credenciales y así sabrá que el sitio no es legítimo.

No baje la guardia y evitará ser una víctima

El clickjacking es solo una de las formas en que los ciberdelincuentes pueden atacarle. Seguir las prácticas recomendadas en materia de seguridad cibernética y estar al día de las noticias sobre seguridad cibernética puede ayudarle a mantenerse al tanto de las últimas amenazas cibernéticas, al tiempo que mantiene protegidos sus datos e identificación.