Los codificadores conquistan la seguridad: Share & Learn Series - Clickjacking
Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.


Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónJaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.


Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.

Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.

Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónJaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Recursos para empezar
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.