INSTITUTO TECNOLOGICO DEL VALLE DE OAXACA

CLICK
JACKING

ALUMNOS: OSWALDO NERY CASTILLO Y MIGUEL ANGEL

MENDEZ GATICA

MATERIA: SEGURIDAD WEB

INTRODUCCION
La seguridad, en informtica como en otras reas, se basa en la
proteccin de activos. Estos activos pueden ser elementos tan tangibles
como un servidor o una base de datos, o pueden ser la reputacin de
una empresa. Generalmente podemos evaluar la seguridad de un activo
en base a tres aspectos principales que no necesitan explicacin:
integridad, disponibilidad, confidencialidad.
Estos tres aspectos a su vez dependen de otros tres elementos
principales que engloban prcticamente todos los distintos controles que
se pueden establecer en un sistema informtico:
Autenticacin: los clientes de nuestras aplicaciones o servicios deben ser
identificados de forma nica, sean usuarios finales, otros servicios o
computadoras externas.
Autorizacin: no solo es necesario saber quines acceden a nuestros
activos, tambin es necesario establecer que es lo que pueden hacer
con ellos. Un nivel de autorizacin dado determina qu tipo de
operaciones o transacciones puede efectuar un cliente dado sobre un
recurso dado.
Registro y Auditoria: luego de efectuada una operacin, es importante
que esta sea registrada adecuadamente, en particular es esencial si
queremos evitar el repudio de transacciones efectuada por un cliente.
Todos estos conceptos son especialmente vlidos en el entorno de
Internet, y particularmente importantes dado el crecimiento explosivo de
los servicios y aplicaciones accesibles a travs de Internet. Si bien
cuando se habla de la seguridad de aplicaciones web se deben
considerar no slo las amenazas externas a la compaa sino tambin
las internas (administradores malintencionados, usuarios que provocan
accidentes, etc.), en el presente trabajo nos enfocaremos principalmente

en

las

externas,

por

ser

(generalmente)

las

ms

peligrosas

impredecibles. Es sabido por otro lado que las aplicaciones ms robustas

y resistentes a ataques son aquellas en las cuales las cuestiones de
seguridad fueron consideradas desde las primeras etapas del desarrollo.

MARCO TEORICO
El clickjacking es uno de los temas de moda en lo que ha seguridad
informtica se refiere, los descubridores Jeremiah Grossman y Robert
Hansen an no han presentado muchos detalles sobre la vulnerabilidad,
pero vamos a intentar conocer en que se basa.
Supongamos que tienes una web, y que como toda Web incluye
vnculos, banners, publicidad,..., ahora imaginemos que un atacante
pueda colocar un elemento invisible sobre dicho vnculo de tal manera
que cuando hagas clic sobre lo que crees es el vnculo que ests viendo
en la pgina en realidad ests haciendo clic sobre el cdigo introducido
por un atacante.
Es decir, que el clickjacking permite a los atacantes ocultar elementos
maliciosos dentro del contenido de una pgina legtima, robndole los
clics de los usuarios y permitiendo ejecutar cdigo malicioso que infecte
al usuario.
Como hemos comentado no se sabe con seguridad como se realiza un
ataque de clickjacking, puesto que los investigadores se reservan los
detalles, pero un reconocido investigador de Google, Michal Zalewski,
ofrece un ejemplo de cmo puede llevarse a cabo:
Supongamos que una pgina maliciosa en el dominio A crea un IFRAME
que apunta a una aplicacin que est en dominio B, con la que un
usuario se puede autenticar a travs de cookies. La pgina del dominio A
puede entonces crear elementos para ocultar sin problemas cualquier
elemento de la pgina excepto un botn en la pgina del dominio B, tal

como eliminar todos los elementos o agregar a Bob como amigo. De

esta forma, la aplicacin A provee una interfaz engaosa que tiene que
ese botn sirva para una propsito diferente en la aplicacin A, invitando
a los usuarios a hacer clic sobre el.
Aunque an no hay solucin para la vulnerabilidad, la combinacin de
Firefox con No Script, una extensin del navegador que bloquea
JavaScript, Flash y Java, da un buen margen de seguridad.

Qu es Clickjacking?
Clickjacking es una tcnica maliciosa que engaa a los usuarios de la
web y permite revelar informacin confidencial de estos o tomar el
control de sus computadores, simplemente haciendo clics en pginas
web que parecen inofensivas. La vulnerabilidad se presenta en casi
todos los navegadores y plataformas.
La vulnerabilidad fue descubierta por Jeremiah Grossman y Robert
Hansen, quienes al principio no dieron detalles para no difundir la
tcnica, pero s se comunicaron con empresas importantes como
Microsoft, Mozilla, Apple y Adobe para advertirlos.
El problema es tan grave que el atacante podra hasta tomar imgenes
de nuestra webcam sin que nosotros nos imaginemos, o lograr que un
usuario haga clic sobre un botn, pero en realidad estaramos haciendo
clic en un enlace malicioso.
Existen

mltiples

tcnicas

de

Clickjacking,

empleando

diferentes

tecnologas web como JavaScript, ActiveX, Flash, etc. Algunas empresas

ya han presentado parches o esperan solucionar los problemas en
prximas versiones.

Como era de esperar, los delincuentes informticos comenzaron a

explotar esta tcnica para realizar ataques relacionados con phishing y
malware. El ataque consiste bsicamente en manipular un enlace web
de tal forma que pueda engaar al usuario y que termine ingresando a
un sitio daino sin saberlo. En este sitio se le podran robar sus
credenciales de acceso o descargar malware
En los ltimos das, ESET ha hallado correos en donde se invita al
usuario a ingresar a un sitio bancario para descargar un supuesto
certificado de seguridad de la entidad. Al hacer clic, el usuario ingresa a
un sitio falso de la entidad en cuestin. Hasta aqu podra pensarse que
se trata de un caso de phishing normal.
Lo original de este caso es que justamente se utiliza la tcnica
denominada Clickjacking para manipular el enlace y, por intermedio del
mismo, re direccionar al usuario hacia la descarga de un cdigo
malicioso

que,

en

este

caso,

ESET

NOD32

detecta

como

Win32/TrojanDownloader.Small.OFV.
El cdigo mostrado en la parte inferior realiza justamente esta accin:
por un lado se abre una ventana al usuario con las polticas de
privacidad

del

banco

autntico

(comando

window.open)

inmediatamente despus se ofrece la descarga del supuesto certificado

(tag

href)

que

en

realidad

es

el

malware

mencionado.

Este

funcionamiento puede resultar confuso y, el usuario puede descargar,

sin desearlo ni saberlo, el archivo daino a su equipo.
Si bien este tipo de ataques an se encuentra en desarrollo y estudio, es
muy peligroso y es probable que sea cada vez ms utilizado para
realizar ataques como el descrito, ya que, como vemos, permite ocultar
el re direccionamiento del enlace de manera que no sepamos hacia
dnde lleva el vnculo mostrado.

Es importante destacar que la tcnica utilizada depende de la forma en

que los navegadores manipulan (parasen) el cdigo fuente, por lo que la
solucin al problema podra ser tarda y los delincuentes tendran una
mayor ventaja de tiempo para realizar distintos tipos de ataques hacia el
usuario.

Por

ejemplo,

la

tcnica

mostrada

puede

mejorarse

perfeccionarse y lograr descargar e instalar malware en el equipo del

usuario sin que el mismo se percate de ninguna accin en su navegador.

Cmo evitar el clickjacking?

Lejos de ser alarmistas, es importante saber que no todo lo que existe
en Internet es miel sobre hojuelas. Existen diversos peligros en la red
que debemos conocer para evitar caer en las noticias alarmistas y dejar
de usar las herramientas que tenemos y que, si sabemos usarlas
adecuadamente, nos ayudan a hacer de nuestra experiencia en el
ciberespacio algo disfrutable y no un dolor de cabeza.
Desde el molesto Spam, que no hace ms que llenar nuestros buzones
de basura, pasando por el Spyware, hasta el Phishing, si sabemos a lo
que nos enfrentamos, podemos evitarlos la gran mayora de las veces.

Algo as como saber que si salimos de noche, no debemos caminar en

las calles solitarias.
Es el caso del ClickJacking, que podemos resumir en una prctica
criminal en Internet que consiste en que cuando damos clic al botn de
una pgina que parece legtima, realmente estamos dando clic a un
botn controlado por terceros que abre la pgina legtima y otra que no
lo es y que le deja la puerta abierta a terceros para que puedan darse un
festn con tu informacin privada.
Todo esto se hace a travs de cdigo activado a travs de JavaScript,
plugins o ActiveX. La recomendacin ms elemental es tener activado y
actualizado nuestro Antivirus, tener instalado un buen Antispyware y
verificar con las herramientas de seguridad integradas en la mayora de
nuestros navegadores la autenticidad de los sitios, principalmente
cuando vamos a acceder a sitios en donde sabemos que vamos a
ingresar informacin sensible.
El ESET de Nicaragua ha sacado un artculo muy interesante que nos da
varios tips para bloquear el ClickJacking en cada uno de los navegadores
ms populares: Firefox, Internet Explorer, Opera y Chrome. Si bien no
son soluciones definitivas, pues en todas ellas tendramos que quitarle
funcionalidad bsica hoy en da a nuestros navegadores, nos pueden
ayudar en un caso especial en el que queramos estar seguros de no
arriesgar la informacin que proporcionemos.

Su ltima solucin es la nica con la que no estoy de acuerdo y consiste

en utilizar navegadores de texto plano, como Lynx o W3M, navegadores
que le restaran por completo la experiencia rica que experimentamos
en los sitios de hoy en da.

CUESTIONARIO
1. Defina con sus propias palabras, Que es ClickJacking?
El clickjacking es uno de los nuevos ataques que aprovechan las
vulnerabilidades de navegadores y otros productos web, como es el caso
de

plugins

complementos

para

navegadores,

que

permite

al

cyberdelincuente el camuflar, en aplicaciones legtimas, contenidos

ilegtimos, con lo que podrn controlar la navegacin del internauta.
2. Por quin fue descubierto este nuevo ataque en la web?
La vulnerabilidad fue descubierta por Jeremiah Grossman y Robert
Hansen, quienes al principio no dieron detalles para no difundir la
tcnica, pero s se comunicaron con empresas importantes como
Microsoft, Mozilla, Apple y Adobe para advertirlos.
3. Mencione algunas de las tecnologas con la que se puede
llevar acabo la tcnica de ClickJacking.
Existen

mltiples

tcnicas

de

Clickjacking,

empleando

diferentes

tecnologas web como JavaScript, ActiveX, Flash, etc. Algunas empresas

ya han presentado parches o esperan solucionar los problemas en
prximas versiones.