Seguridad

Clickjacking ¿Qué es y cómo puedes evitarlo?

Cuando se trata de formas en que los hackers y distribuidores de malware obtienen acceso a su computadora, hay algunas cosas de las que se habla mucho: ingeniería social ¿Qué es la ingeniería social? [MakeUseOf explica] ¿Qué es la ingeniería social? [Explica MakeUseOf] Puede instalar el firewall más fuerte y costoso de la industria. Puede educar a los empleados sobre los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero cómo ... Leer más, inyección SQL ¿Qué es una inyección SQL? [MakeUseOf explica] ¿Qué es una inyección SQL? [MakeUseOf Explica] El mundo de la seguridad de Internet está plagado de puertos abiertos, puertas traseras, agujeros de seguridad, troyanos, gusanos, vulnerabilidades de cortafuegos y una gran cantidad de otros problemas que nos mantienen en alerta todos los días. Para usuarios privados,… Leer más, ataques DDoS ¿Qué es un ataque DDoS? [MakeUseOf explica] ¿Qué es un ataque DDoS? [MakeUseOf Explica] El término DDoS pasa silbando cada vez que el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS a menudo son controvertidos o altamente ... Leer más, y así sucesivamente. Pero un ataque sobre el que no se habla tanto es tan nefasto como los otros es clickjacking.

El clickjacking es difícil de detectar, puede afectar a casi cualquier persona y está distribuido en una amplia variedad de sistemas operativos y aplicaciones. Esto es lo que necesita saber sobre el clickjacking, incluido lo que es, dónde lo verá y cómo protegerse contra él..

¿Qué es clickjacking?

Como es posible que haya tomado el nombre, el secuestro de clics es el proceso de secuestrar el clic de un usuario en una computadora (también se puede usar para secuestrar pulsaciones de teclas, pero “robo de teclas” es mucho más difícil de decir). Hay varias formas en las que se puede llevar a cabo este proceso, pero todas tienen una cosa en común: un usuario piensa que está haciendo clic en una cosa, cuando en realidad, está haciendo clic en otra cosa..

Muchos ataques de clickjacking incluyen una interfaz de usuario transparente colocada sobre otra interfaz que el usuario espera ver (por eso “Corrección de la interfaz de usuario” es otro nombre para este método). Luego, cuando ese usuario piensa que está haciendo clic en algo, en realidad está haciendo clic en otra cosa que no puede ver. Puede pensar que está haciendo clic en un enlace que lo suscribirá para recibir un boletín de noticias interesante. Aprenda algo nuevo con 10 boletines electrónicos de Worth-It. Aprenda algo nuevo con 10 boletines electrónicos de correo electrónico de Worth-It. Se sorprenderá de la calidad de los boletines de noticias de hoy. Ellos están haciendo una reaparición. Suscríbete a estos diez fantásticos boletines y descubre por qué. Lea más, cuando en realidad está haciendo clic en un botón que le da acceso a un ciberdelincuente a su cuenta de correo electrónico, por ejemplo.

Otro tipo de ataque cambia la posición real del cursor del usuario, pero deja la pantalla sin tocar, de modo que el cursor se ve como si estuviera en un lugar, pero en realidad está en otro. Suena como si solo fuera una gran molestia, pero se puede usar para hacer que la gente haga clic en cosas que brindan información confidencial. 10 Información que se usa para robar su identidad. 10 Información que se usa para robar su identidad. Para la Oficina de Justicia de los EE. UU., el robo de identidad costó a las víctimas más de $ 24 mil millones en 2012, más que el robo de viviendas, el robo de vehículos y la propiedad combinados. Estas 10 piezas de información son lo que los ladrones buscan ... Leer más .

Algunos otros ataques creativos caen bajo el paraguas del clickjacking, también. Por ejemplo, un ataque reciente utilizó una pieza de malware para redirigir las búsquedas de los usuarios en Bing, Google y Yahoo a páginas de resultados personalizadas (y fraudulentas) que estaban llenas de anuncios impulsados por Google AdSense. Los usuarios harían clic en los anuncios, pensando que eran resultados de búsqueda legítimos, y que los atacantes recibirían un pago.

Algunas personas incluso incluyen ataques de tipo de ingeniería social en el clickjacking; por ejemplo, en 2009, un tweet iba alrededor de Twitter que decía “No haga clic” e incluyó un enlace. Cada vez que alguien hiciera clic en el enlace, lo mismo se tuitearía desde su cuenta. Técnicas similares Cinco amenazas de Facebook que pueden infectar su PC y cómo funcionan Cinco amenazas de Facebook que pueden infectar su PC y cómo funcionan Leer más se han utilizado para difundir enlaces que generan dinero en Facebook.

Sin embargo, el clickjacking no solo se limita a sitios web y aplicaciones en las que los usuarios tienen un mouse; También puede ocurrir en dispositivos móviles. Un ejemplo reciente es Android.Lockdroid.E, una pieza de Android Malware en Android: los 5 tipos que realmente necesita saber sobre Malware en Android: los 5 tipos que realmente necesita saber sobre Malware puede afectar tanto a dispositivos móviles como a dispositivos de escritorio . Pero no tenga miedo: un poco de conocimiento y las precauciones adecuadas pueden protegerlo de amenazas como el ransomware y las estafas de extorsión sexual. Leer más que utiliza clickjacking (o “touchjacking,” si lo prefiere) para obtener derechos administrativos para el dispositivo de destino. Y recientemente nos enteramos de la vulnerabilidad de Accesibilidad Clickjacking en Android. Cómo se pueden usar los Servicios de Accesibilidad de Android para hackear su teléfono. Cómo se pueden usar los Servicios de Accesibilidad de Android para hackear su teléfono. Los investigadores de seguridad han identificado una vulnerabilidad de seguridad en los Servicios de Accesibilidad de Android, que podría permitir Un atacante para ganar el control del dispositivo. Veamos cómo puedes evitar que esto suceda. Leer más teléfonos inteligentes y tabletas.

Qué puedes hacer para prevenir el pinchazo

Desafortunadamente, no hay mucho que pueda hacer para evitar el clickjacking a menos que sea un administrador de sitios web. Con mucho, el método más comúnmente recomendado para protegerse mientras navega es usar NoScript, el complemento de Firefox que evita que los scripts se carguen sin su autorización específica. NoScript tiene algunas características específicamente anti-clickjacking, y es realmente bueno para detectar los tipos de scripts que crean superposiciones transparentes en los sitios web.

Cualquier extensión similar que pueda usar para evitar que los scripts o aplicaciones se carguen. Controle su contenido web: Extensiones esenciales para bloquear el seguimiento y Scripts Controle su contenido web: Extensiones esenciales para bloquear el rastreo y scripts La verdad es que siempre hay alguien o algo que monitorea su Actividad y contenidos en internet. En última instancia, cuanta menos información permitamos a estos grupos tener más seguros estaremos. Leer más también proporcionará un poco de protección.

Sin embargo, las mejores defensas contra el clickjacking deben provenir de los administradores del sitio. Muchas de las defensas son bastante técnicas, y si quieres saber exactamente cómo implementarlas, te recomiendo que consultes la Hoja de trucos de defensa de Clickjacking de OWASP..

Una de las mejores maneras de prevenir el clickjacking en su sitio es incluir un encabezado HTTP de x-frame-options que evite que el contenido de su sitio se cargue en un marco ( etiqueta) o iframe ( etiqueta). Debido a que estos a menudo se usan como vectores de ataque, no solo para el clickjacking, sino también para otras amenazas, esta es una forma efectiva de mitigar la amenaza..</p><p><img src="//ephesossoftware.com/img/images_6/clickjacking-what-is-it-and-how-can-you-avoid-it_3.png"></p><p>Cómo evitar las secuencias de comandos entre sitios Qué es la secuencia de comandos entre sitios (XSS), y por qué es una amenaza para la seguridad Qué es la secuencia de comandos entre sitios (XSS), y por qué es una amenaza para la seguridad Las vulnerabilidades de las secuencias de comandos entre sitios son el mayor problema de seguridad de los sitios web en la actualidad. Los estudios han descubierto que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades de XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Leer más (XSS) también ayudará a reducir las posibilidades de un ataque de clickjacking en un sitio. Debido a que XSS también se usa para otros ataques, es una buena idea protegerse contra él de todos modos.</p><p>Para minimizar la posibilidad de un ataque de clickjacking en su dispositivo móvil, es posible que desee limitarse a descargar solo aplicaciones de fuentes confiables, como Apple App Store o Google Play Store. Si bien esto no es una garantía de que estará libre de ataques, es mucho menos probable que estas aplicaciones incluyan códigos maliciosos que las que obtiene de terceros..</p><p>También puede evitar el uso de navegadores en la aplicación, ya que este es un lugar común para que se produzcan ataques de pirateo. Establezca el comportamiento predeterminado para que la apertura de enlaces en sus aplicaciones se abra en el navegador del sistema, en lugar del navegador integrado, y eliminará una posible debilidad más en su defensa.</p><h2>Una amenaza real</h2><p>Como se mencionó anteriormente, el clickjacking suena más como una molestia que como una amenaza real para su seguridad, pero si se usa de manera efectiva, puede ayudar a los atacantes a robar información muy importante o acceder a sus cuentas en línea, donde podrían causar un daño grave..</p><p>Y mientras que la mayoría de la defensa tiene que venir detrás de escena, puede usar extensiones de bloqueo de secuencia de comandos para evitar la mayoría de estos ataques, si está de acuerdo con usar este tipo de complementos, ya que son un poco polémicos. , NoScript y Ghostery - La Trifecta del mal AdBlock, NoScript y Ghostery - La Trifecta del mal En los últimos meses, un buen número de lectores me han contactado y no pueden descargar nuestras guías. ver los botones de inicio de sesión o comentarios que no se cargan; y en… Leer más .</p><p><strong>¿Conoce algún ejemplo de ataques de clickjacking a gran escala o ha sido víctima de uno de estos ataques? ¿Utiliza NoScript o despliega defensas en su propio sitio web? Comparte tus pensamientos a continuación!</strong></p><p><small>Crédito de la imagen: Mozilla..</small></p> <p><small>Explore más acerca de: clickjacking, hacking, seguridad en línea.</small></p> </div> <div class="rek-block"> <center> <ins class="adsbygoogle" style="display:inline-block;width:580px;height:400px" data-ad-client="ca-pub-3810161443300697" data-ad-slot="3145557800"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </center> </div> <div class="row PageNavigation d-flex justify-content-between font-weight-bold"> <a class="prev d-block col-md-6" href="/articles/web-culture/clicking-consequences-why-donald-trump-is-your-fault.html"> « Hacer clic en las consecuencias por qué Donald Trump es tu culpa</a> <a class="next d-block col-md-6 text-lg-right" href="/articles/browsers/clicktoplugin-blocks-flash-in-safari-lets-you-watch-videos-anyway.html">ClickToPlugin bloquea Flash en Safari, te permite ver videos de todos modos » </a> <div class="clearfix"></div> </div> </div> </div> </div> </div> </div> </div> <footer class="footer"> <div class="site-langs-list"> <ul> <li class="site-lang"><a href="https://ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-DE"></i>Deutsch</a></li> <li class="site-lang"><a href="https://nl.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-NL"></i>Nederlands</a></li> <li class="site-lang"><a href="https://sv.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-SE"></i>Svenska</a></li> <li class="site-lang"><a href="https://no.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-NO"></i>Norsk</a></li> <li class="site-lang"><a href="https://it.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-IT"></i>Italiano</a></li> <li class="site-lang"><a href="https://fr.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-FR"></i>Français</a></li> <li class="site-lang"><a href="https://es.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-ES"></i>Español</a></li> <li class="site-lang"><a href="https://ro.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-RO"></i>Românesc</a></li> </ul> </div> <div class="container"> <div class="row"> <div class="col-md-6 col-sm-6 text-center text-lg-left"> © <script> var currentTime = new Date(); var year = currentTime.getFullYear(); document.write(year); </script> <a href="https://es.ephesossoftware.com">es.ephesossoftware.com</a> </div> <div class="col-md-6 col-sm-6 text-center text-lg-right"> <span>¡Noticias del mundo de la tecnología moderna!</span> </div> </div> </div> </footer> </div> <link rel="stylesheet" type="text/css" href="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.css" /> <script src="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.js"></script> <script> window.addEventListener("load", function(){ window.cookieconsent.initialise({ "palette": { "popup": { "background": "#edeff5", "text": "#838391" }, "button": { "background": "#4b81e8" } }, "theme": "classic", "position": "bottom-right" })}); </script> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <script src="js/jquery.min.js"></script> <script src="js/bootstrap.min.js"></script> <script src="https://unpkg.com/simple-jekyll-search@1.5.0/dest/simple-jekyll-search.min.js"></script> <script> SimpleJekyllSearch({ searchInput: document.getElementById('search-input'), resultsContainer: document.getElementById('results-container'), json: '/search.json', searchResultTemplate: '<li><a href="{url}">{title}</a></li>' }) </script> </body> </html>