Los timos acechan tras cada esquina de Internet, gracias —sobre todo— a la gran inventiva de los ciberestafadores. Una de estas amenazas invisibles, en la que puedes caer fácilmente si no reconoces las señales, es la técnica conocida como "clickjacking" o "secuestro de clics".
El clickjacking es un tipo de fraude online que implica engañar a los usuarios para que hagan clic involuntariamente en elementos de una página web: los atacantes ocultan estos elementos invisibles detrás de contenido legítimo, lo que hace que las víctimas crean que están interactuando con la página de manera normal…
…pero su acción termina desencadenando toda clase de consecuencias negativas, como el robo de credenciales de inicio de sesión, acceso no autorizado a cámaras y micrófonos, propagación de malware, compras no solicitadas y pagos no autorizados, etc.
¿Cómo ocurre esto? Fácil: en primer lugar, el ciberestafador crea un 'iframe' (marco) u otro elemento HTML transparente para la página web objetivo, que puede ser maliciosa o el resultado de hackear una web legítima.
Cuando el usuario abre dicha página web en su navegador y empieza a interactuar con ella, hace clic en el botón o enlace previsto por el ciberestafador… normalmente, inducido por éste mediante el uso de 'patrones oscuros' (que incluso las empresas legítimas usan para manipular al usuario).
Como resultado de ese clic involuntario en un elemento engañoso u oculto, el usuario es redirigido a otra web o consiente involuntariamente una acción. Punto para el estafador.
Tipos de ataques de clickjacking
Los ataques de clickjacking puedes ser autolimitados (requieren una única acción —clic— del usuario) o multipaso (ese primer clic nos lleva a una web donde tenemos que realizar al menos una acción más)… pero también pueden ser combinados (una única acción del usuario desata varias reacciones maliciosas simultáneamente).
Otra forma de categorizar los ataques de clickjaking es según la forma en que nos manipulan para que hagamos clic en los elementos. Estos son sólo algunos ejemplos:
- Likejacking: los botones de 'Like'/'Me gusta' de plataformas sociales integrados en páginas web están pirateados para inducir a los usuarios interactúen con páginas o perfiles maliciosos.
- Filejacking: los hackers colocan marcos sobre los botones de 'Subir/Examinar archivos', lo que provoca que las víctimas den acceso involuntariamente a los ciberdelincuentes a sus archivos.
- Cursorjacking: los ciberdelincuentes enmascaran la ubicación del cursor del ratón para que el usuario crea que se encuentra en un lugar de la página distinto.
- Mousejacking: los delincuentes se las apañan para controlar a distancia las funciones de un dispositivo y pueden hacer clic en elementos, escribir comandos y código.
¿Qué hacer?
¿Qué hacer para evitar ser víctima de esta clase de estafa? En primer lugar, estar pendientes de lo que ocurre cuando hacemos clic en algo, no navegar 'en modo automático', sin leer ni molestarnos en mirar las URLs de los sitios en que nos encontramos.
Por fortuna, normalmente, el uso de software antimalware integrado en el navegador basta para detectar la mayoría de estos casos. Extensiones que detecten sitios web potencialmente maliciosos o que desactiven JavaScript durante nuestras sesiones de navegación también pueden ayudar.
Imagen | Wikipedia
En Genbeta | Las enormes sumas de dinero que explican por qué hay tantas estafas phishing por SMS y mail en España
