Clickjacking, el secuestro del clic

  • Por
Esta técnica de engaño permite a los atacantes ocultar elementos maliciosos dentro del contenido de una página legítima, robándo los clicks de los usuarios y permitiendo ejecutar código malicioso.
29/06/2009 - El clickjacking es una amenaza para la seguridad informática que explota una vulnerabilidad del navegador y que consiste en cargar una web externa dentro de un iframe invisible y poner tras del iframe invisible, elementos xhtml para que el usuario los seleccione.

Los atacantes que usan este tipo de técnicas provocan la pulsación del usuario engañado con la intención de manipular encuestas, sistemas de votaciones, crear sitios phishing mas veraces, o enviar spam al resto de contactos de una red social, sin que el internauta sea consciente de la acción que ha realizado.

Pese a que todavía no existe una solución para el clickjacking, podemos parchear esta vulnerabilidad deshabilitando las opciones de scripts, plugins y JavaScript en el navegador, lo que, por otro lado, provocará que la mayoría de páginas web no se vean de forma correcta.

Además, en Firefox, los usuarios pueden instalar la extensión NoScript, que permite controlar todo lo que va a ejecutar una página web al acceder a ella. En Opera, podemos deshabilitar el apartado Mostrar información contenida en iframes mediante la configuración de extensiones.