15 de marzo de 2009

"ClickJacking: Trucos de Cyberdelincuentes que Ponen en Peligro tu PC"


El "clickjacking" es una técnica para engañar al usuario para que pulse sobre un enlace o botón que parece inofensivo cuando en realidad lo hace sobre otro enlace controlado por terceros. Es una amenaza para la seguridad informática que explota la vulnerabilidad del sistema operativo o el navegador del usuario.



Estos ataques informáticos buscan un agujero para colarse en el sistema del usuario, aunque por lo general necesitan antes una acción de confirmación u otra acción del usuario que les abra las puertas a la vulnerabilidad. Para conseguir meterse en el sistema operativo del usuario se presenta una página web que parece ser un sitio inofensivo, incitando al usuario a que pulse sobre un hipervínculo o un botón. Cuando se ejecuta la acción, se desencadena la infección del sistema y la realización de acciones no previstas por el usuario: los “ciberdelincuentes” toman el control. Esto puede llevar a la divulgación de datos personales del usuario o el envío masivo de mensajes no deseados desde el ordenador según Consumer.



Los ciberdelincuentes en ocasiones sólo provocan que se pulse el botón con el objetivo de manipular encuestas, sistemas de votaciones o enviar spam a los contactos de sus redes sociales sin que el usuario sea consciente.



El ‘clickjacking’ se suelen camuflar con una página web externa de apariencia inofensiva y dentro de una capa, o "iframe"). Los ciberdelincuentes hacen coincidir una zona donde el usuario tiene que realizar una acción con un elemento de la página camuflada, de modo que desencadena la puesta en marcha del ataque.



Para protegerse de los "clickjacking", lo más importante es tener actualizado el sistema operativo y los navegadores web en sus últimas versiones. Sin embargo, esto no asegura en su totalidad estar libre de estas técnicas maliciosas. Sólo los usuarios que utilizan navegadores en modo texto como Lynx, Links o W3M están a salvo, ya que estos navegadores no ejecutan aplicaciones ni elementos realizados en javascript.



Los navegadores como Firefox u Opera disponen de una protección extra, que les otorga una defensa más eficaz frente a ataques de "clickjacking". En Firefox, los usuarios pueden instalar la extensión NoScript, que permite controlar todo lo que ejecutará una página web al acceder a ella, como códigos Javascript, extensiones y objetos realizados en flash. NoScript funciona mediante el uso de listas blancas; es decir, el usuario añade manualmente aquellos sitios web de confianza donde está permitida la ejecución de estos códigos. En el resto de sitios, el usuario deberá validar cada acción que realice en dichas páginas.



En Opera, la solución más sencilla pasa por deshabilitar el apartado "Mostrar información contenida en iframes" mediante la configuración de extensiones. Esto se hace accediendo desde la barra del navegador a "opera:config" o desmarcando "todas las opciones" en el apartado de "Contenidos", dentro del menú de Herramientas.



0 comentarios:

Ideas Libérrimas - 2008 -