Existe mucho revuelo últimamente en el mundillo de la seguridad informática alrededor de una nueva amenaza, conocida como Clickjacking (en castellano se podría traducir como “robo de clicks”) Esta amenaza ha sido dada a conocer por dos hackers expertos en seguridad de navegadores, Jeremiah Grossman y Robert Hansen durante las conferencias de la OWASP (Proyecto de seguridad de aplicaciones web abiertas)

Clickjacking, ¿una nueva amenaza?

¿En que consiste Clickjacking? La idea es la siguiente: actualmente muchas webs muestran anuncios, botones y, en general, enlaces a webs externas mediante tecnologías como Flash y similares. La técnica básicamente consiste en superponer a estos enlaces otro enlace, pero que esté de manera oculta, usando para ellos las técnicas de ocultación que nos permiten estos plugins.

Un ejemplo sería un supuesto anuncio bancario, cuyo enlace apuntará al banco pero al hacer clic sobre él, nuestro enlace sería “robado”, enviándonos hacia otro sitio. Como podemos ver, un ataque de phising en toda regla.

La vulnerabilidad también se podría explotar haciendo uso de elementos HTML básicos, como iframes y CSS, aunque sería más complejo de realizar. Con lo cual, aunque tengamos desactivados los plugins susceptibles de ser atacados, podríamos caer igualmente en la trampa.

Lo grave de este ataque es que no se basa en un error de software, sino que es una trampa de diseño. Por lo tanto no afecta a un navegador específico, sino que podríamos caer en un Clickjacking independientemente de que usemos Explorer, Safari, Opera, Firefox o cualquier otro. Según los dos hackers que han advertido del peligro, solo los navegadores en modo texto se librarían de este tipo de ataques.

De momento los dos hackers no han mostrado ejemplos de como se haría el ataque, según dicen las malas lenguas por presiones de Adobe (creadora de Flash). Mientras tanto recordemos que la mejor manera de prevenir estos ataque es usando el sentido común.

Fuentes: Hackademix, Kriptopolis