rhypee 2.0

El clickjacking se encuentra muy de moda últimamente. Este “sistema” se basa en engañar al usuario haciéndole pulsar un botón o un enlace aparentemente inofensivo cuando lo que esta haciendo realmente es hacer click en un botón que esta controlado por otros usuarios. Este sistema explota las posibles vulnerabilidades que nuestro sistema operativo o navegador presentando una pagina falsa e invitándole a que presione dicho botón u enlace, pero al realizar esta acción lo que estará haciendo realmente es dar el control de nuestro sistema a esos usuarios.

Estos ataques buscan un agujero para colarse en nuestro sistema. Para que puedan llegar a este propósito les hace falta confirmación de usuario y para conseguirlo simular una pagina web conocida, simulando ser a primera vista un sitio inofensivo. Por lo que si el usuario a caído y hace click en el hipervinculo inmediatamente estará infectado y empezara a realizar acciones predefinidas por el virus.

En algunas ocasiones los ciberdelincuentes no buscan instalar un virus en nuestro ordenador o robarnos información personal, sino que también pueden utilizarlo para manipular encuestas o enviar Spam al resto de amigos de nuestra red social. Y todo ello sin que el propio usuario sepa nada.

Los códigos maliciosos que utilizan para conseguir su propósito se ocultan dentro de una capa “iframe” invisible por debajo de la pagina que estas viendo en tu monitor.

De modo que al hacer click en lo que creemos que es algo normal, desencadenara un ataque.

La pregunta tras leer esto es: ¿ Que se puede hacer para protegernos del clickjacking?

Pues como para cualquier riesgo que pueda tener nuestro ordenador, es mantenerlo actualizado constantemente y los navegadores web a sus ultimas versiones. Pero aun así no estas a salvo al 100% de estos peligros. Los únicos usuarios que pueden estar totalmente seguros son aquellos que utilizan navegadores en modo texto como pueden ser: Lynx, Links o W3M. Te preguntaras porque estos usuarios están totalmente a salvo de estas técnicas. Pues bien, esto es gracias a que estos navegadores  no ejecutan aplicaciones en JavaScript, en cambio los navegadores Internet Explorer, Firefox, Opera, Safari, Chrome si hacen.

Para compensar esto, algunos navegadores proporcionan información extra que les hace más seguros frente a este tipo de técnicas. Por ejemplo, Firefox dispone de una extensión llamada NoScript que permite controlar todo lo que va a ejecutar la pagina web. NoScript funciona gracias a listas blancas, es decir, el usuario que lo esta utilizando  añade a estas listas que son de confianza, para las demás tendrá que ir validando.

Opera tiene una solución mucho más sencilla que se trata en deshabilitar el apartado “mostrar información contenida en iframes”. Para realizar esta operación tenemos que escribir en la barra de direcciones “opera.config”.