Internet Noticias Hipotecas Empleo Viajes Coches Libros Contactos

IP estaticas, RFC1483-PPPoE

transferir dominios.es

transferir dominios.com

Dominio tel

Clickjacking

IEEE 802

VPLS

VLAN nativa

VLAN ethernet

Configuración VLAN

Configurar VLAN

VLAN Cisco

switching

VLAN seguridad

DHCP

LDAP

SNMP

ARP

FTP

telnet

 

paratorpes.es

Ultimas noticias del mundo de Internet

Clickjacking

  • Consiste en una estratagema para hacer que los internautas pinchen en un enlace malicioso controlado por terceros.
  • Con los ordenadores infectados se envían correos no deseados en masa y se manipulan encuestas y votaciones.

El clickjacking es una estratagema para engañar al usuario haciéndole pulsar sobre un enlace o botón en apariencia inofensivo cuando en realidad lo hace sobre otro enlace controlado por terceros. Se trata de una amenaza para la seguridad informática que explota una vulnerabilidad del sistema operativo o el navegador del usuario, presentando una página falsa e invitándole a realizar una acción para tomar el control del sistema.

Estos ataques buscan un agujero para colarse en el sistema del usuario, aunque en general precisan antes de una acción de confirmación u otra acción del usuario que les abra las puertas a la vulnerabilidad. Para conseguir esto, se presenta una página web que simula ser un sitio inofensivo, incitando al usuario a que pulse sobre un hipervínculo o un botón.

Estos ataques buscan un agujero para colarse en el sistema del usuario

Inmediatamente se desencadena la infección del sistema y la realización de acciones no previstas por el usuario, pues los ciberdelincuentes toman el control. Así, se puede producir una divulgación de información personal del usuario o el envío masivo de mensajes no deseados desde el ordenador.

A veces los ciberdelincuentes ni siquiera utilizan agujeros de seguridad del sistema, sino que simplemente provocan la pulsación del usuario con el fin de manipular encuestas, sistemas de votaciones o enviar spam al resto de contactos de una red social, sin que el internauta sea consciente de la acción que ha realizado.

Protección frente a clickjacking

Para protegerse de los clickjacking , al igual que de cualquier otro riesgo que ponga en compromiso la seguridad del ordenador de los usuarios, lo más importante es tener actualizado el sistema operativo y los navegadores web en sus últimas versiones. Sin embargo, esto no asegura al cien por cien estar libre de estas técnicas maliciosas. Sólo los usuarios que utilizan navegadores en modo texto como Lynx, Links o W3M están a salvo, ya que estos navegadores no ejecutan aplicaciones ni elementos realizados en javascript.

Algunos navegadores como Firefox u Opera pueden disponer de una protección extra, que les otorgue una defensa más eficaz frente a ataques de "clickjacking".

Clickjacking en redes sociales

El pasado 12 de febrero se extendió rápidamente en Twitter un enlace a modo de broma que consistía en una página web que simulaba tener un botón con el texto en inglés "Don't click" (No hagas clic). El falso botón era un enlace para la publicación de un mensaje, de forma automática al pulsar el botón, en la cuenta del usuario de Twitter que ofrecía el enlace a la misma página web.

Para que el ataque funcionase, el usuario tenía que tener activada su sesión de Twitter en otra pestaña del navegador. Esta acción consiguió un efecto viral en muy pocas horas , enviándose miles de mensajes en la popular plataforma de "microblogging". Esta "broma", como la han calificado sus autores, fue inspirada a raíz de un artículo publicado por un blogger francés, que comentó las posibilidades de realizar una acción masiva en esta red social.

Información adicional

El clickjacking promete ser el nuevo tema de moda en la red, lo que me recuerda al reciente caso de Kaminsky .

Resumiendo y mucho, porque no hay mucho que decir al respecto, dos investigadores, Jeremiah Grossman y Robert Hansen , han descubierto un vector de ataque que, aparentemente, afecta a multitud de navegadores y otros productos Web, y mediante el cual sería posible que los usuarios efectuasen, entre otras lindezas, clicks o pulsaciones en enlaces sin tan siquiera saberlo. Según lo que se puede leer, es un problema que ni depende de los productos de navegación ni de la presencia de JavaScript, lo que lo convierte en un problema, de llegar a confirmarse, de muy alto impacto, y que habilitaría mecanismos para la ejecución masiva de, entre otros, fraudes basados en pulsaciones no voluntarias sobre enlaces comerciales ( click fraud )

Esta vulnerabilidad parece afectar especialmente a los productos de Adobe , hasta tal punto que han solicitado que la charla en OWASP AppSec , donde se iban a relatar los hechos, se aplace hasta que exista un análisis completo de la situación. De momento, la postura oficial de los investigadores es la de guardar silencio , actitud que me parece prudente si efectivamente se trata de un problema multiproducto y con difícil solución.

Además de mucha especulación, sólo tenemos, como información destacable, la opinión de Zalewski y la del creador de NoScript (que parece no ayudará en este caso). Hay más opiniones y noticias a lo largo y ancho de la Web .