코더들이 보안을 정복하다: 셰어 앤 런 시리즈 - 클릭재킹
Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.
이제 클릭재킹이 어떻게 작동하는지, 왜 위험한지, 그리고 여러분과 같은 개발자가 이를 방지하기 위해 무엇을 할 수 있는지 살펴보겠습니다.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.
Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Susie abre su correo electrónico para escapar de un desagradable informe que debe entregar en dos días. Ve que aparece en su bandeja de entrada un enlace para conseguir un iPad gratis. Después de hacer clic en él, va a un sitio web con un gran banner en el que se lee: "¡Haga clic aquí para obtener su iPad gratis!". Hace clic en el botón, pero parece que no pasa nada. El problema es que sí pasó algo.
Después de navegar de nuevo a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos han sido borrados. Ni siquiera ha pulsado "borrar" en ninguno de ellos. ¿Qué está pasando?
El sitio de correo electrónico fue objeto de clickjacking. El clickjacking engaña a los usuarios para que realicen acciones que no tenían intención de llevar a cabo, y puede dar lugar a graves problemas.
Veamos ahora cómo funciona el clickjacking, por qué es peligroso y qué pueden hacer los desarrolladores como usted para evitarlo:
Entender el clickjacking
El clickjacking, también llamado "ataque de redireccionamiento de la interfaz de usuario", se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que no tiene intención de hacer clic.
¿Alguna vez has tenido un bicho atrapado en tu coche? Vuelan contra la ventanilla tratando furiosamente de salir al exterior. La intención del bicho es volar hacia lo que parecen árboles y aire libre, sin tener en cuenta el cristal que bloquea su camino.
El clickjacking tiene un diseño similar, salvo que el usuario es el bicho y su sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca su sitio web dentro de un marco transparente encima del anuncio del iPhone gratis. Cuando el usuario hace clic en el botón para coger el supuesto premio "gratis", en realidad está haciendo clic en un botón de su sitio, realizando una acción que no tenía prevista.
Por qué el clickjacking es peligroso
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría conseguir que un usuario le diera un "me gusta" o compartiera el sitio del atacante en las redes sociales. Esto puede ser fácil de conseguir, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por razones de comodidad.
Si su sitio puede colocarse en un marco, una operación sensible puede completarse haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratuito, pero en su lugar cambia la configuración de la cuenta en su sitio para hacerla menos segura. Un ataque de este tipo se produjo contra la página de configuración del plugin de Adobe Flash. Los ajustes podían colocarse en un marco transparente, engañando al usuario para que permitiera el acceso de cualquier animación Flash al micrófono y la cámara. Los atacantes podían entonces grabar a la víctima; una importante invasión de la privacidad.
Un cliente de correo electrónico podría ser enmarcado en un sitio, haciendo que el usuario borre todos los correos electrónicos de su buzón o reenvíe los correos a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver lo que hace clic, por lo que se le puede convencer de que haga clic en cualquier cosa. Ya sea una acción social o la descarga de un malware, las posibilidades son enormes.
Cómo vencer el clickjacking
El clickjacking se puede prevenir. La forma recomendada para evitar el clickjacking es definir una política de seguridad de contenidos, o CSP, para su sitio. Utilizando la cabecera de respuesta HTTP "frame ancestors", puede controlar cómo se puede enmarcar su sitio.
- "frame-ancestors none" - Ningún otro sitio puede enmarcar el suyo. Esta es la configuración recomendada.
- "frame-ancestors self'- Las páginas de su sitio sólo pueden ser enmarcadas por otras páginas dentro de su sitio.
- "frame-ancestors self <uri list=""> - Your site can be framed by the sites in the URI lists and no others.</uri>
Actualmente, los principales navegadores no admiten los anclajes de marco CSP. Utilice la cabecera HTTP "X-Frame-Options" como opción alternativa para dichos navegadores.
- DENEGAR - Nadie puede enmarcar su sitio. Esta es la configuración recomendada
- SAMEORIGIN - Lo mismo que "self'for CSP". Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- ALLOW-FROM <uri> - Allow the specified URI to frame your content.</uri>
No se deje secuestrar por los clics
El clickjacking es un ataque inteligente y engañoso que puede provocar daños a la reputación y pérdidas de ingresos si su producto puede ser manipulado por los atacantes. Consulta nuestros recursos de aprendizaje gratuitos para saber más sobre el clickjacking.
Utilice una política de seguridad de contenidos y la cabecera "X-Frame-Options" para evitar que otros utilicen su sitio de forma maliciosa. No permita que los atacantes manipulen a sus usuarios. No se deje secuestrar por los clics.
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
