1.1. El clickjacking es una técnica maliciosa que engaña a los usuarios para que hagan clic en elementos de una página web que están ocultos o camuflados. Esto puede llevar a que los usuarios realicen acciones sin saberlo, como: Descargar malware, Visitar páginas web maliciosas, Proporcionar información confidencial, Transferir dinero, Comprar productos en línea, ejemplos, Robar contraseñas, Falsear «Me gusta» de Facebook, Promover estafas online y propagar malware engañando a la gente para que haga clic en enlaces de descarga maliciosos, engañar a las personas para que enciendan su cámara web o micrófono
2. Características
2.1. 1. Encubrimiento de contenido: Usa marcos o capas transparentes para ocultar elementos que el usuario no ve.
2.2. 2. Robo de interacción: Redirige los clics del usuario hacia elementos ocultos, como botones o enlaces maliciosos.
2.3. 3. Manipulación de interfaces: Integra contenido externo en la página para engañar al usuario.
2.4. 4. Impacto en seguridad: Puede llevar a la realización de acciones no deseadas, como activar la cámara web, compartir información sensible o realizar transacciones no autorizadas.
2.5. 5. Dependencia del navegador: Afecta más a los usuarios que utilizan navegadores con protecciones de seguridad débiles o desactualizadas.
3. ¿Cómo se ejecuta? Ténicas para combatirlos
3.1. Script de eliminación de marcos de clickjacking. Los scripts de prevención se sitúan y utilizan dentro de un navegador web. Esta defensa contra el clickjacking -también conocida como Frame Busting Script- es específica a cada plataforma, y también puede ser neutralizada fácilmente por atacantes con conocimientos de HTML y JavaScript. Sin embargo, los scripts pueden:
3.2. Hacer visibles los marcos invisibles de las páginas web.
3.3. Impedir que se pueda hacer clic en los marcos invisibles.
3.4. Identificar y proteger contra los intentos de clickjacking.
3.5. Asegurar que la ventana deseada no está cubierta por un marco invisible.
3.6. Extensiones contra el clickjacking:
3.7. Las extensiones de navegador pueden ayudar a evitar el clickjacking, pero también pueden desactivar JavaScript y afectar negativamente a la experiencia de usuario de una página web. Cuando se instalan, estos bloqueadores de JavaScript pueden impedir que se abran sitios populares como YouTube y Facebook.
3.8. También existen extensiones de navegador maliciosas que podrían causar problemas adicionales a algunos usuarios. Si decides desactivar JavaScript con una extensión anti-clickjacking, infórmate sobre tus opciones o elige fuentes fiables como ScriptSafe o NoScript.
3.9. Software antivirus:
3.10. Un software antivirus fiable trabaja las 24 horas del día para mantener tus dispositivos protegidos de diversos ataques maliciosos. En el caso del clickjacking, el software antivirus puede advertir a los usuarios antes de que entren en sitios web potencialmente peligrosos, y puede ayudar a mantener protegidos los datos y la información en caso de que el ataque tenga éxito.
4. Medidas para prevenir
4.1. 1- Uso de encabezados HTTP X-Frame-Options:
4.2. Medida: Configurar el servidor web para que incluya el encabezado X-Frame-Options con la opción DENY o SAMEORIGIN para evitar que la página sea cargada en un iframe de otro sitio.
4.3. Ejemplo: Configuración en un servidor Apache:
4.4. Header set X-Frame-Options "DENY"
4.5. 2-Uso de la cabecera Content-Security-Policy (CSP):
4.6. Medida: Incluir la política frame-ancestors en los encabezados de respuesta HTTP para especificar qué fuentes pueden incluir la página en un iframe.
4.9. Esto significa que solo la misma página puede cargar su contenido en un iframe.
4.10. 3-Monitoreo y pruebas de seguridad:
4.11. Medida: Realizar pruebas de seguridad periódicas en el sitio web para asegurarse de que las medidas contra clickjacking siguen funcionando y de que no hay vulnerabilidades nuevas.
4.12. Ejemplo: Usar herramientas de análisis de vulnerabilidades como OWASP ZAP para verificar la protección contra el clickjacking.
4.13. 4- Uso de plugins y extensiones de navegador:
4.14. Medida: Los desarrolladores y usuarios pueden usar extensiones de navegador que bloquean los iframes de terceros automáticamente.
4.15. Ejemplo: Extensiones como NoScript o uBlock Origin ayudan a prevenir ataques de clickjacking al controlar qué contenido de terceros se carga en un sitio web.
4.16. Implementar una o varias de estas medidas es fundamental para proteger a los usuarios y mantener la seguridad de una aplicación web.
