Clickjacking para niños
El clickjacking (que significa "secuestro de clic") es una técnica engañosa usada en Internet. Su objetivo es hacer que los usuarios hagan clic en algo que no quieren, revelando información privada o permitiendo que alguien tome control de su ordenador. Esto ocurre cuando el usuario hace clic en páginas web que parecen normales, pero que en realidad esconden algo.
Contenido
¿Qué es el Clickjacking?
El clickjacking es un tipo de ataque malicioso que engaña a las personas. Los atacantes usan elementos como capas transparentes o marcos ocultos en una página web. Así, cuando haces clic en un botón o enlace que ves, en realidad estás haciendo clic en otra cosa que está escondida. Esto puede llevarte a descargar algo sin querer o a dar información que no querías compartir.
¿Cómo funciona el Clickjacking?
El clickjacking es posible porque algunas características de las páginas web HTML, que parecen inofensivas, pueden ser usadas de forma inesperada. Los atacantes crean una capa invisible sobre una página web legítima. Esta capa oculta lo que realmente está debajo, pero captura tus clics. Es como si te pusieran un cristal invisible encima de un dibujo y tú creyeras que estás tocando el dibujo, pero en realidad estás tocando el cristal.
Tipos de ataques de Clickjacking
Existen varias maneras en que los atacantes pueden usar esta técnica para engañarte:
Completamente oculto
En este método, el atacante carga una parte de una página web real en un pequeño espacio invisible, a menudo de solo un píxel. Este espacio se coloca justo debajo del cursor de tu ratón. Así, cuando intentas hacer clic en algo que ves en la pantalla, sin darte cuenta, estás haciendo clic en ese pequeño espacio oculto.
Eventos de puntero
Aquí, se crea una capa flotante invisible sobre la página web que estás viendo. Usando una propiedad especial de CSS (un lenguaje para diseñar páginas web), se logra que los clics que haces en esa capa invisible se registren en la página real que está debajo. De esta forma, la capa invisible "recoge" tus clics sin que te des cuenta.
Recorte de contenido
Esta técnica consiste en esconder parte del contenido de una página web, dejando visibles solo algunos botones, como "permitir" o "cancelar". Sin embargo, el atacante superpone una pregunta o mensaje diferente sobre la pregunta original. Así, cuando haces clic en el botón, estás respondiendo a la pregunta falsa del atacante. A veces, solo se superponen palabras individuales en la pantalla.
Capa transparente
En este caso, se crea una capa completamente transparente sobre la ventana de la página web legítima. El usuario cree que está haciendo clic en el contenido que ve debajo de esta capa. Sin embargo, cada clic es capturado por la capa transparente, ya que es el elemento que está más arriba en el momento del clic.
Historia del Clickjacking
El término "clickjacking" fue creado por Jeremiah Grossman y Robert Hansen en el año 2008. También se le conoce como "UI redressing" (revestimiento de interfaz de usuario). En 2011, una norma sobre privacidad en Europa, conocida como la ley de cookies, hizo obligatorio que los sitios web que guardan información sobre sus visitantes incluyeran una advertencia. Recientemente, se han detectado ataques donde se modifica esta advertencia para desviar los clics de los usuarios a otro sitio web. Estos ataques pueden incluir publicidad oculta dentro del aviso de privacidad, de modo que al hacer clic en cualquier parte del aviso, se abre la página del sitio publicitado.
Galería de imágenes
-
Representa cómo opera el Clickjacking, inyectando en el sitio una capa transparente que secuestra el clic del usuario.
Véase también
En inglés: Clickjacking Facts for Kids
