Alerta por una nueva amenaza: el "Clickjacking"

l clickjacking emplea muchas formas. Los hackers pueden utilizar la técnica para presentar un cuadro de diálogo emergente que solicita información personal de un usuario desconocido, por ejemplo, o pueden colocar sobre un botón ya existente un "botón falso" para que cuando el usuario haga clic sobre él, éste sea dirigido a una página web maliciosa o de phishing. Debido a que el usuario cree que está en una web legítima, proporciona libremente información sobre transacciones, o bien, el clickjacking le convence para desactivar los ajustes de seguridad de Flash. Ya existen varios ejemplos de esta técnica.

La buena y la mala noticia sobre el clickjacking

La buena noticia sobre el clickjacking es que aún es una técnica más teórica que práctica, pues todavía no hay informes de un abuso generalizado de la misma. De acuerdo con Paul Ferguson, Investigador de Amenazas Avanzadas de Trend Micro, "el clickjacking no se ha propagado debido a que el código es difícil de escribir y aún hay gran cantidad de recursos al alcance bajo la forma de explotaciones a las que tienen acceso los ciber-criminales". Sin embargo, cuando otros métodos pasen de moda, se espera que los hackers dediquen más tiempo y recursos al clickjacking. Si bien es relativamente fácil escribir código SQL que inserte un IFRAME o JavaScript malicioso para que ayude en el clickjacking, el código debe colocarse con precisión en la página para que parezca legítima y esto no es una tarea fácil.

"Hace diez años fuimos muchos los que nos maravillamos con el poder de JavaScript para llevar contenido funcional a los escritorios de los usuarios. Todos sabíamos que esta funcionalidad sería manipulada algún día con propósitos criminales. Esto es exactamente lo que está ocurriendo ahora con la Web 2.0 y sus peligros relacionados. No me cabe duda de que el clickjacking presentará un escenario similar y nuestros peores miedos se harán realidad", afirma Ferguson.

La mala noticia sobre el clickjacking es que afecta virtualmente a todos los sistemas operativos y navegadores, desde Microsoft Internet Explorer hasta Mozilla Firefox, Apple Safari, Google Chrome y Opera. Además, también puede afectar al software Adobe Flash, que se instala en la mayoría de los navegadores.

Una noticia igual de mala es que no hay realmente una solución para el clickjacking ya que explota estándares HTML legítimos para entregar contenido malicioso. Ferguson apunta: "no hay salida, puesto que no se puede arreglar lo que no está roto". Para estar realmente seguros contra un ataque de clickjacking, habría que evitar conectarse a Internet, algo bastante imposible a día de hoy, o utilizar un navegador sólo de texto, lo que altera negativamente la experiencia del usuario. Sin embargo, inhabilitar el scripting y los plug-ins del navegador puede reducir los riesgos. Para los usuarios de Firefox, la extensión NoScript Firefox es una sana defensa contra el clickjacking. No obstante, se debe habilitar manualmente la opción "desconectar por contenido predeterminado", que deja inservibles algunos sitios.

La mejor solución para Microsoft, Mozilla, Apple y Google es crear mejorar la protección en las futuras versiones de sus aplicaciones. Estas compañías entienden los peligros del clickjacking, sin embargo, ninguna ha declarado públicamente que esté preparando una solución, probablemente porque la amenaza sigue aún en la etapa de prueba de concepto.

Mientras tanto, los métodos de protección probados y reales siguen siendo los mejores. Actualizar todos los sistemas operativos y las aplicaciones instaladas con los parches de seguridad recientes es crucial. Si bien muchos programas tienen una función de actualización automática, Trend Micro aconseja revisar la frecuencia con que se instalan las actualizaciones y seleccionar la configuración diaria cuando sea posible. Si el software carece de una función de actualización automática, los usuarios pueden visitar la web del proveedor de software para actualizar manualmente descargando el parche adecuado.

Ferguson recomienda, "no olvidar actualizar el software adicional que pueda tener en su escritorio, como Adobe Shockwave, RealPlayer, y QuickTime. En entornos empresariales, los administradores de TI pueden utilizar la administración de groupware para desplegar actualizaciones a todos los usuarios".