Mientras las estafas digitales no paren de crecer y cada vez más gente es víctima de ciberdelitos, una vieja técnica de engaño virtual vuelve a ser tendencia. Se trata del clickjacking, una especie de ciberataque que induce al usuario para que haga click en un elemento de una página web que es invisible o está disfrazado de otra cosa.

Esta técnica, relacionada con las diferentes opciones para programar y diseñar sitios de internet, está ganando terreno rápidamente debido a su sutileza y capacidad para pasar desapercibida.

Con esta modalidad de engaño, los ciberdelincuentes pueden hacer que sus víctimas descarguen malware sin darse cuenta, visiten páginas web maliciosas, proporcionen credenciales o información confidencial, y hasta transfieran dinero o compren productos en línea.

Qué es el clickjacking y cómo funciona

El clickjacking es una técnica de ciberestafa que busca engañar a los usuarios haciéndoles creer que están haciendo click en una cosa cuando en realidad están clickeando otra.

Conocida también como Redireccionamiento de la interfaz de usuario, se realiza mostrando una página invisible o un elemento HTML, dentro de un iframe, encima de la página que ve el usuario. Así, el usuario cree que está haciendo clic en la página visible, pero en realidad está sobre en un elemento transparente de la página enmarcada encima de la original.

En concreto, las víctimas creen que están utilizando la interfaz de usuario normal de una página web, pero en realidad están actuando sobre la interfaz invisible.

Cuál es objetivo del clickjacking

El clickjacking en sí no es el objetivo final de la ciberestafa, sino que es simplemente un medio para lanzar algún otro ataque haciendo creer a los usuarios que están haciendo algo seguro.

El ataque real puede ser prácticamente cualquier cosa posible a través de páginas web. Esto va desde acciones maliciosas, como la instalación de malware o el robo de credenciales, hasta cosas más inocuas, como aumentar las estadísticas de clicks, aumentar los ingresos por publicidad en sitios, conseguir likes en Facebook o aumentar las visualizaciones de videos de YouTube.

Cómo funciona el clickjacking

Este engaño es posible gracias a los marcos HTML (iframes), una herramienta de programación que tiene la capacidad de mostrar páginas web dentro de otros sitios a través de marcos.

Si una web permite que se pueda visualizar dentro de uno de estos marcos, un hacker puede cubrir la página web original con una capa oculta y transparente con su propio código (por ejemplo JavaScript) y elementos de interfaz de usuario.

Así, el atacante engaña a las víctimas para que visiten la página maliciosa, que tiene el mismo aspecto que un sitio que los usuarios conocen y en el que confían. Al navegar, no hay ninguna indicación de que haya una interfaz de usuario oculta sobre el sitio original.

Al hacer click en un enlace o un botón, esperando una acción concreta del sitio original, las víctimas, sin darse cuenta, ejecutan en su lugar el script del atacante.

Existen diversas variantes del ataque clickjacking

  • Likejacking: técnica de manipulación en redes sociales para que los usuarios le den Me gusta a una página que en realidad no tenían intención de hacerlo.
  • Cursorjacking: técnica de redireccionamiento de la interfaz de usuario que cambia el cursor de la posición que percibe el usuario a otra posición. El cursorjacking se basaba en vulnerabilidades de Flash (el sistema de creación y reproducción multimedia de Adobe) y del navegador Firefox, que ya han sido corregidas.
  • Filejacking: en este caso, los marcos sobre los botones Subir o Descargar archivos, provocan que las víctimas descarguen un virus o les den acceso involuntariamente a los ciberdelincuentes a sus archivos.

/TN