Los codificadores conquistan la seguridad: serie Share & Learn - Clickjacking
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo.
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Tabla de contenido
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
