'Clickjacking' : El engaño a traves de un click.

El fraude y el robo de cuentas en Internet esta a la orden del día. Pareciera que no importa cual sea el método empleado para contrarrestar las balas furtivas, siempre existen nuevos prospectos que se hacen con las armas necesarias para volar las puertas de la seguridad informática.

Como si no fuera suficiente con los clásicos correos cadenas (que buscan recaudar la información de usuarios para enviar spams) hasta los muy frecuentes ¿Quien te borró del MSN? y el MSN Historiales, los sistemas se vuelven cada vez más llamativos y complejos con el fin de apoderarse de cuentas y datos internos. Un ejemplo claro de esto es "Clickjacking" el nuevo sistema de engaño que funciona con tan solo un click.

El Clickjacking, según Antonio Delgado de Consumer Eroski, es una estratagema para engañar al usuario haciéndole pulsar sobre un enlace o botón en apariencia inofensivo cuando en realidad lo hace sobre otro enlace controlado por terceros. Una amenaza para la seguridad informática que explota una vulnerabilidad del sistema operativo o el navegador del usuario, presentando una página falsa e invitándole a realizar una acción para tomar el control del sistema, para conseguir esto, se presenta una página web que simula ser un sitio inofensivo, incitando al usuario a que pulse sobre un hipervínculo o un botón.

Inmediatamente se desencadena la infección del sistema y la realización de acciones no previstas por el usuario, pues los ciberdelincuentes toman el control. Así, se puede producir una divulgación de información personal del usuario o el envío masivo de mensajes no deseados desde el ordenador.

Sin embargo esta forma no es la única de engañar al usuario, sino que también a veces los ciberdelincuentes ni siquiera utilizan agujeros de seguridad del sistema, sino que simplemente provocan la pulsación del usuario con el fin de manipular encuestas, sistemas de votaciones o enviar spam al resto de contactos de una red social, sin que el internauta sea consciente de la acción que ha realizado.

Mecanismos de Protección:

Para protegerse de los clickjacking, al igual que de cualquier otro riesgo que ponga en compromiso la seguridad del ordenador de los usuarios, lo más importante es tener actualizado el sistema operativo y los navegadores web en sus últimas versiones. Sin embargo, esto no asegura al cien por cien estar libre de estas técnicas maliciosas.

Sólo los usuarios que utilizan navegadores en modo texto como Lynx, Links o W3M están a salvo, ya que estos navegadores no ejecutan aplicaciones ni elementos realizados en javascript. Algunos navegadores como Firefox u Opera pueden disponer de una protección extra, que les otorgue una defensa más eficaz frente a ataques de "clickjacking".

Casos recientes

Según el Diario 20 Minutos.com, el pasado 12 de febrero se extendió rápidamente en Twitter un enlace a modo de broma que consistía en una página web que simulaba tener un botón con el texto en inglés "Don't click" (No hagas clic). El falso botón era un enlace para la publicación de un mensaje, de forma automática al pulsar el botón, en la cuenta del usuario de Twitter que ofrecía el enlace a la misma página web.

Para que el ataque funcionase, el usuario tenía que tener activada su sesión de Twitter en otra pestaña del navegador. Esta acción consiguió un efecto viral en muy pocas horas, enviándose miles de mensajes en la popular plataforma de "microblogging". Esta "broma", como la han calificado sus autores, fue inspirada a raíz de un artículo publicado por un blogger francés, que comentó las posibilidades de realizar una acción masiva en esta red social.

Fuentes consultadas: Consumer/Eroski ; 20Minutos.com

Post relacionados:

• MSN Historiales, nueva excusa para robar cuentas MSN.
• Consejos prácticos a la hora de comprar una computadora portátil.
• Como evitar el robo de tu computadora portátil.