Internet es la fuente de creatividad por excelencia en estas últimas décadas. En ella hemos podido presenciar cientos de nuevos inventos, técnicas de programación, servicios multimedias y miles de aplicaciones Web pensadas para satisfacer las necesidades de una creciente comunidad Internauta Mundial.

Pero esta increíble demostración de creatividad no sólo es abundante en el lado ‘normal’ o ‘más conocido’ por los usuarios de Internet, sino que también es muy manifiesto en ese ‘lado oscuro’ de la Red. Un ‘reverso tenebroso’ dominado por los delincuentes informáticos.

Estos no dejan de lado su perversa creatividad, para explotar diversas técnicas de ataques phishing, Smishing, a blogger, a Google, a messenger y paginas Web en general.

Ahora en estos últimos días, los ‘amigos informáticos de lo ajeno‘ han lanzado un nuevo ataque que se ha bautizado “ClickJacking”, un ataque que básicamente consiste en manipular un enlace web de manera de poder engañar al usuario, para que este ingrese a un sitio Web dañino sin que este se de cuenta de ello. Para robar sus credenciales de acceso o descargar malware a su ordenador, para robar toda su información y rastrear cada uno de sus movimientos.

Dicho así, esta nueva amenaza Web puede parecer idéntica al Phishing, ya que entras en una pagina Web pensando que es otra. Pero la diferencia e ‘ingenioso’ del asunto. Es que en el Phishing ’se crean sitios Webs muy similares al original’, pero estos nunca tiene una relación o interacción con el sitio verdadero. En cambio en este nuevo ataque, el ClickJacking logra ‘manipular un enlace’ y, por intermedio del mismo, redireccionar al usuario hacia la descarga de un código malicioso.

Por ejemplo en la imagen superior, verás que en el código que se figura en la parte inferior ‘realiza justamente el ClickJacking’. Por un lado se abre una ventana al usuario con las políticas de privacidad del banco auténtico (comando window.open) e inmediatamente después se ofrece la descarga de un supuesto certificado (tag href) que en realidad es un malware que se descargará a su ordenador.

De más está decir que esta nueva amenaza tiene un ‘alto’ porcentaje de efectividad. Ya que si estamos en un sitio verídico o original, todas las medidas de seguridad de los principales navegadores Web, no detectarán ningún problema y permitirán la libre descarga de cualquier archivo.

Al ser tan reciente su descubrimiento, ningún navegador Web tiene ’siquiera una opción’ para solucionar el problema. Así que por el momento, dependerá de nosotros hacer algunos ajustes en nuestro navegador web, como medidas ‘preventivas’ que podrían ayudar y NO solucionar este gran fallo.

Las medidas giran básicamente en:

  • Utilizar Firefox como nuestro navegaror predeterminado (actualmente sigue siendo el navegador más seguro).
  • Instalar la extensión NoScript. Cuya función es no permitir el uso de Scripts de las paginas Web que visites. Haciendo que determinadas secciones de las páginas no sean vistas, o funcionen con dificultad. (podrás permitir sólo el acceso y ejecución de Scripts de la páginas en las que realmente confíes y conozcas muy bien).
  • Cruzar los dedos para no tropezar con un sitio o correo Web que te haga llegar aun sitio que utilice ClickJacking.