Un hacker podría estar espiándote a través de tu cámara web y micrófono. Y les permitiste ese acceso. Así es cómo.
Abres un sitio para ver un video. Bastante inocente, ¿verdad? Pero simplemente haciendo clic en un botón, un atacante cibernético podría haber obtenido acceso a su cámara y micrófono. Podrían estar observándote sin que te des cuenta. Esta es una forma de ataque llamada clickjacking.
Entonces, ¿qué significa eso realmente? ¿Cómo funciona el secuestro de clics? ¿Y cómo puedes protegerte?
¿Qué es el secuestro de clics?
El clickjacking es un tipo de ataque de ingeniería social que los ciberdelincuentes pueden utilizar para obtener acceso a la información de los usuarios.
El objetivo principal del clickjacking es engañar al usuario para que haga clic en algo específico que el ciberatacante quiere que haga. A través de esto, pueden apoderarse de su dispositivo, especialmente cuando usan la cámara y el micrófono. En la mayoría de los navegadores, solo tiene que hacer clic en un solo botón para otorgar permisos de micrófono y cámara; Los usuarios, entonces, pueden, sin saberlo, compartir sus cámaras con un atacante cibernético, lo que puede tener graves consecuencias, especialmente para la privacidad.
Cómo funciona el secuestro de clics con sitios transparentes
Los atacantes crean entornos falsos para engañar a los usuarios. Los sitios web falsos pueden llegar a un gran número de personas, por lo que aumenta la probabilidad de éxito del ataque. Los estafadores diseñan un sitio que parece inocente, pero tiene el propósito real de acceder a su cámara y micrófono o hacer que descargue malware.
Por ejemplo, considere un simple juego de clicker que funciona completamente dentro de su navegador. Su objetivo principal es evaluar su capacidad para coordinar los movimientos de sus manos y ojos. Para lograr esto, el juego te presenta botones de colores que aparecen en diferentes partes de la pantalla y te pide que hagas clic en ellos. Cuanto más rápido pueda ejecutar esta actividad, mayor será su nivel de logro.
Aunque parezca inofensivo, las coordenadas de los botones que aparecerán en pantalla están predeterminadas por el atacante. Crees que haces clic en un botón y ganas el juego, pero en realidad haces clic en un botón completamente diferente en el fondo.
Acceder a su cámara con clickjacking
Lo mismo ocurre con el acceso a su permisos de micrófono y cámara. A veces, los sitios necesitan su cámara y micrófono. Por ejemplo, una aplicación como Zoom requiere estos permisos para que pueda hablar y para que su imagen aparezca en la videoconferencia. Para otorgar permisos, verá un botón "permitir" en algún lugar de la interfaz de su navegador. Por supuesto, no todas las plataformas son tan seguras como Zoom.
Por lo tanto, cuando hace clic en un botón de reproducción de aspecto inocente para ver un programa de televisión o una película, puede ser un botón de permiso de back-end creado por el hacker para abrir su cámara.
¿Cómo se protege contra los ataques de clickjacking?
Un atacante malicioso usa varios códigos y secuencias de comandos para que haga clic exactamente donde quiere y manipule su pantalla. Muchos desarrolladores con incluso poco experiencia con html y CSS puede hacer esto fácilmente: solo tienen que jugar con los valores de opacidad de las dos páginas que diseñaron una encima de la otra y no mostrar la última página al usuario final.
Para evitar ser víctima de un truco aparentemente simple basado en secuencias de comandos, uno de los enfoques más efectivos es deshabilitar JavaScript. La mayoría de los navegadores web ofrecen una función de seguridad que le permite desactivar JavaScript código que se ejecuta en el fondo de los sitios web. Por ejemplo, en Chrome, puede acceder a la página escribiendo "chrome://settings/content/javascript" en la barra de direcciones. Al llegar a esta página, se encontrará con el No permitir que los sitios usen Javascript opción.
Sin embargo, debe tener cuidado al seleccionar esta opción, ya que bloqueará todos los códigos existentes en todos los sitios web. Actívelo solo cuando inicie sesión en sitios en los que no confíe y considere inseguros. Siempre puede revertir esta configuración más adelante.
Alternativamente, puede usar complementos confiables y de código abierto para habilitar y deshabilitar JavaScript más fácilmente. Paquete de seguridad NoScript es una buena solución para esto y ofrece soporte para muchos navegadores diferentes. Su objetivo es evitar no solo los ataques de secuestro de clics, sino también el software malicioso que existe en cualquier sitio al que ingrese.
Los atacantes malintencionados no siempre codifican sus sitios para realizar un ataque de secuestro de clics utilizando sitios transparentes. También pueden aprovechar las vulnerabilidades en línea que encuentran mientras navegan por Internet. Por ejemplo, pueden inyectar código explotando una vulnerabilidad en la sección de comentarios de un blog. En tales casos, debe prestar atención a lo que realmente hace clic, incluso si hacerlo suena un poco paranoico.
¿Cómo saber si un sitio es confiable?
¿Cómo puede saber si puede confiar en un sitio? Los atacantes a menudo no dedican demasiado tiempo al diseño y desarrollo de un sitio; es tiempo innecesario y dinero desperdiciado. Puede saberlo por los certificados de seguridad y el diseño de un sitio. Por ejemplo, lo más probable es que un sitio organizacional grande y confiable tenga un certificado SSL. Para verificar esto, mire la URL. Si la dirección comienza " https://", significa que el sitio tiene un certificado SSL. Esa "S" adicional después de "HTTP" significa "Seguro". Sin embargo, no confíes únicamente en esto.
También debe echar un vistazo al diseño y contenido del sitio. La información de la página de contacto, las políticas de privacidad, e incluso La advertencia de GDPR puede indicar si un sitio es confiable. Investigue el sitio también. ¿Qué dicen al respecto otros usuarios en plataformas como Twitter, Facebook y Trustpilot?
Si tiene algún conocimiento sobre codificación, puede examinar los códigos fuente del sitio. De esa manera, verá parte del trabajo de fondo y a qué otros sitios se vincula.
¿Debería preocuparse por el secuestro de clics?
El secuestro de clics es algo aterrador, especialmente porque los ciberdelincuentes podrían obtener acceso a su cámara web y espiar activamente sus actividades. Esa es una gran invasión de la privacidad y la seguridad.
Así que sí, puede parecer un poco exagerado tener cuidado en el lugar en el que haces clic en un sitio web. La mayoría de nosotros hacemos esto sin pensarlo un segundo. Pero también es importante que te mantengas alerta para no ser víctima de un hacker.
