Los timos acechan tras cada esquina de Internet, gracias —sobre todo— a la gran inventiva de los ciberestafadores. Una de estas amenazas invisibles, en la que puedes caer fácilmente si no reconoces las señales, es la técnica conocida como "clickjacking" o "secuestro de clics".

El clickjacking es un tipo de fraude online que implica engañar a los usuarios para que hagan clic involuntariamente en elementos de una página web: los atacantes ocultan estos elementos invisibles detrás de contenido legítimo, lo que hace que las víctimas crean que están interactuando con la página de manera normal…

…pero su acción termina desencadenando toda clase de consecuencias negativas, como el robo de credenciales de inicio de sesión, acceso no autorizado a cámaras y micrófonos, propagación de malware, compras no solicitadas y pagos no autorizados, etc.

¿Cómo ocurre esto? Fácil: en primer lugar, el ciberestafador crea un 'iframe' (marco) u otro elemento HTML transparente para la página web objetivo, que puede ser maliciosa o el resultado de hackear una web legítima.

Cuando el usuario abre dicha página web en su navegador y empieza a interactuar con ella, hace clic en el botón o enlace previsto por el ciberestafador… normalmente, inducido por éste mediante el uso de 'patrones oscuros' (que incluso las empresas legítimas usan para manipular al usuario).

Como resultado de ese clic involuntario en un elemento engañoso u oculto, el usuario es redirigido a otra web o consiente involuntariamente una acción. Punto para el estafador.

En Genbeta

Así es como puedes deshacerte de las molestas notificaciones de Chrome en Windows 10 y 11

Tipos de ataques de clickjacking

Los ataques de clickjacking puedes ser autolimitados (requieren una única acción —clic— del usuario) o multipaso (ese primer clic nos lleva a una web donde tenemos que realizar al menos una acción más)… pero también pueden ser combinados (una única acción del usuario desata varias reacciones maliciosas simultáneamente).

Otra forma de categorizar los ataques de clickjaking es según la forma en que nos manipulan para que hagamos clic en los elementos. Estos son sólo algunos ejemplos:

• Likejacking: los botones de 'Like'/'Me gusta' de plataformas sociales integrados en páginas web están pirateados para inducir a los usuarios interactúen con páginas o perfiles maliciosos.
• Filejacking: los hackers colocan marcos sobre los botones de 'Subir/Examinar archivos', lo que provoca que las víctimas den acceso involuntariamente a los ciberdelincuentes a sus archivos.
• Cursorjacking: los ciberdelincuentes enmascaran la ubicación del cursor del ratón para que el usuario crea que se encuentra en un lugar de la página distinto.
• Mousejacking: los delincuentes se las apañan para controlar a distancia las funciones de un dispositivo y pueden hacer clic en elementos, escribir comandos y código.

¿Qué hacer?

¿Qué hacer para evitar ser víctima de esta clase de estafa? En primer lugar, estar pendientes de lo que ocurre cuando hacemos clic en algo, no navegar 'en modo automático', sin leer ni molestarnos en mirar las URLs de los sitios en que nos encontramos.

Por fortuna, normalmente, el uso de software antimalware integrado en el navegador basta para detectar la mayoría de estos casos. Extensiones que detecten sitios web potencialmente maliciosos o que desactiven JavaScript durante nuestras sesiones de navegación también pueden ayudar.

Imagen | Wikipedia

En Genbeta | Las enormes sumas de dinero que explican por qué hay tantas estafas phishing por SMS y mail en España

En ocasiones, algunos administradores de sitios ponen trabas a sus usuarios en nombre de la seguridad por medio de inhabilitar la capacidad de copiar o el uso del menú contextual. A mi modo de ver, tan sólo dificulta la usabilidad del sitio porque siempre hay medios sencillos para saltarse esa limitación, como el siguiente que vamos a ver.

RightToclick es una extensión para Firefox que nos permite usar el menú contextual en aquellos sitios que lo hayan inhabilitado. Su funcionamiento es simple: una vez instalada, tan sólo tenemos que acceder al sitio en cuestión y hacer clic en el puntero dorado que hay en la barra de estado. Funciona desde la versión 1.5 del navegador hasta la beta 2 de la 4.0.

La extensión ha funcionado en un par de sitios que he probado, incluso en uno en que lo único que no permitía era seleccionar para copiar. Su comportamiento se puede personalizar en sus opciones y, en las avanzadas, nos permite también desactivar el CSS de la página o mostrarnos todas las imágenes que contiene ésta.

Vía | AddictiveTips
Enlace | RightToClick