Clickjacking

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

El clickjacking, o secuestro de clic, es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su computadora cuando hacen clic en páginas web aparentemente inocentes . En uno de los muchos navegadores o plataformas con alguna vulnerabilidad, un ataque de clickjacking puede tomar la forma de código embebido o script que se ejecuta sin el conocimiento del usuario; por ejemplo, aparentando ser un botón para realizar otra función.

El término clickjacking fue acuñado por Jeremiah Grossman y Robert Hansen en 2008 [1], también conocido como UI redressing.

El clickjacking puede ser entendido como una variante del problema de reemplazo confuso.[1]

La directiva de la Unión Europea de 2011 sobre privacidad, conocida como ley de cookies, obliga a los sitios que almacenan datos sobre sus visitantes a incluir una advertencia. Recientemente, se ha comprobado el ataque a sitios web que consiste en modificar la advertencia incluida en el sitio para que su clic sea desviado abriendo un sitio web diferente. Los ataques detectados incluyen publicidad no visible dentro del aviso de privacidad. Al hacer clic en cualquier parte del aviso aparece la página del sitio publicitado.[2]

Descripción[editar]

El clickjacking es posible debido a características aparentemente inofensivas de una página web HTML que pueden ser empleadas para realizar acciones inesperadas.

Referencias[editar]

  1. The Confused Deputy rides again!, Tyler Close, October 2008
  2. «EU Cookie Law Abused in Clickjacking Campaign». 8 de enero de 2016. Consultado el 11 de enero de 2016. 

Enlaces externos[editar]

  • UNAM-CERT Subdirección de Seguridad de la Información UNAM-CERT (noticias, documentos, información para usuarios, revista .Seguridad, alertas de seguridad, Malware UNAM, Honeynet UNAM, etc.)