El mundo digital está lleno de cosas fascinantes y útiles; pero también está plagado de peligros que aumentan y se diversifican de forma exponencial a medida que avanza la tecnología. De esas amenazas, entre las más comunes se encuentra el clickjacking; una técnica maliciosa capaz de introducirse en los sistemas de forma furtiva y permitir, entre otras cosas, el robo de información sensible de usuarios y empresas.
Aunque las consecuencias de un ataque de clickjacking pueden muchas veces ser leves; se ha demostrado que sus alcances pueden llegar a comprometer de forma importante la seguridad del sistema en el que se introduce. Por ello, conocer su funcionamiento, así como algunas mejores prácticas de prevención; es vital para evitar convertirse en una víctima de esta técnica maliciosa. Sigue leyendo y entérate de todo lo que necesitas saber acerca de esta amenaza del ciberespacio.
¿Qué es exactamente el Clickjacking?
El Clickjacking también llamado UI Redressing, es una técnica maliciosa destinada a persuadir a un usuario de Internet a dar click en enlaces aparentemente seguros; pero que tienen como objetivo brindarle la oportunidad al hacker de robar información o tomar el control del ordenador del usuario.
En otras palabras, es una forma de piratería informática maliciosa que le da la oportunidad al atacante de tener acceso a datos sensibles; instalar malwares o, en algunos casos, crear PCs «zombies». En el peor de los casos, el cibercriminal puede obtener el control de servicios vitales de una empresa para lograr beneficios económicos a través de la extorsión.
Cuando aplican el clickjacking, los atacantes a menudo utiliza marcos ocultos para robar información. Aunque no es una técnica nueva; los hackers se esfuerzan en encontrar medios innovadores para engañar a los usuarios. Por lo que no dudan en utilizar su dominio de la web; sus conocimientos relacionados con el comportamiento de los internautas y las nuevas tecnologías (html5, display none, etc.), para perfeccionar sus técnicas maliciosas.
En resumen, ¿cómo funciona?
Los cibercriminales detrás del clickjacking tienden a proceder de la siguiente manera:
- Localiza páginas vulnerables, en las que se invite a los usuarios a realizar alguna acción a través de un enlace o botón.
- Integra en esta página un código malicioso de otra página que él mismo domina.
Existen muchas formas a través de las cuales estos hackers pueden engañar al usuario, por ejemplo; pueden utilizar las propiedades de estilo ofrecidas por HTML/CSS para hacer que la página vulnerable sea transparente.
Los ejemplos más comunes de ataques de clickjacking son likejacking y tweet bomb. La primera, dirigida a la red social, tiene como objetivo hacer que una página aumente su popularidad. La segunda está orientada a transmitir de forma masiva un mensaje en Twitter, la mayoría de las veces con publicidad.
Sin embargo, un ataque de clickjacking también puede traer consigo un riesgo considerable para las aplicaciones de las empresas que manejen datos sensibles.
¿Cómo protegerse efectivamente del clickjacking?
Más que cualquier error interno de los sistemas, son los usuarios quienes representan la puerta de entrada más común para este tipo de ataques. Sobre todo aquellos que son más “ingenuos” tecnológicamente.
Esto quiere decir que independientemente de si una empresa cuenta con lo último en tecnología de seguridad; siempre puede existir algún usuario mal informado que permita la intrusión de algún elemento malicioso. Es por eso que aplicar medidas preventivas es vital a la hora de mantener los sistemas protegidos. Entre esas medidas tenemos:
#1 Comienza por el navegador
Incluso durante sus actividades normales, los miembros de la empresa pueden convertirse en víctimas de este tipo de ataques. Es por eso que como medida de prevención, lo más recomendable es que comiences por proteger el navegador.
Instala complementos como NoScript y NotScript. Los mismos son capaces de permitir que los usuarios identifiquen los dominios confiables. Es importante que antes de ejecutar cualquier medida, realices una campaña de concienciación entre los miembros de la empresa. Esto le permitirá estar al tanto de las estrategias de seguridad y promoverá una cultura de colaboración más eficiente a la hora de prevenir cualquier tipo de ataques.
#2 Instala una herramienta de seguridad de aplicaciones web
Parece una medida bastante obvia, sin embargo para muchas empresas no lo es. Algunas organizaciones siguen sin integrar en sus sistemas soluciones que les permitan proteger de forma automática sus activos digitales.
Esto representa una gran ventaja para los cibercriminales pues disminuye la cantidad de esfuerzos que deben hacer para infiltrarse en un sistema. Para evitar ser una víctima más; lo esencial es instalar una herramienta que brinde seguridad a las aplicaciones web aun cuando los equipos de TI no estén activos. Una excelente opción en este caso es la solución Tenable.io. Capaz de proteger tanto aplicaciones web, como activos en la nube y contenedores informáticos.
#3 Utiliza las opciones X-Frames
La mayoría de los navegadores comunes, incluyendo Microsoft IE, Google Chrome; Apple Safari y Firefox, soportan la opción HTTP Header X-FRAME-OPTIONS. La misma permite especificar si el navegador debe permitir o no que un navegador muestre una página en una etiqueta <frame>, <iframe> u <object>.
Ya lo ves, son estrategias simples pero efectivas. Procura aplicarlas todas para garantizar la protección efectiva de tus sistemas. Si quieres más información acerca de las mejores herramientas de seguridad IT, no dudes en contactarnos. En GB Advisors nos esforzamos por ayudar a nuestros clientes a tener entornos de TI eficientes y seguros.
