¿Qué es el secuestro de clic y cómo puedes prevenirlo?

19 Jan, 2022   |   de Carlos Herrera   |   Desarrollo web

Los hackers siempre están buscando la forma de obtener los datos de cualquier usuario para realizar fraudes, por ello, se aprovechan de cualquier brecha en los portales. En este momento los sitios web como los eCommerces son los más atacados, debido a que los clientes dejan su información bancaria y personal. Por ende, si eres persona que pasas mucho tiempo navegando en la web es fundamental que conozcas qué es el secuestro de clic.

Para prevenir este tipo de ataque es recomendable tomar algunas acciones:

  • Protege al navegador.
  • Bloquea las ventanas emergentes.
  • Emplea autenticación en dos pasos.
  • Presta atención a los correos electrónicos de dudosa procedencia.
  • Evita hacer clics en anuncios o noticias extravagantes.
  • Evita instalar juegos en el navegador.

¿Qué es el secuestro de clic?

Figura 1. El secuestro de clic o ataque de compensación ocurre cuando los hackers ejecutan ataques para engañar a un usuario para que realice un clic en un link o botón.

El secuestro de clic o ataque de compensación ocurre cuando los hackers ejecutan ataques para engañar a un usuario para que realice un clic en un link o botón. Al hacerlo el atacante está literalmente secuestrando los clics destinados al website y tiene la posibilidad de llevarlo a una página maliciosa.

El secuestro de clic permite insertar una capa de interfaz de usuario invisible colocando un malware para controlar el computador de la víctima. Los atacantes siempre están innovando para encontrar formas para sacar provecho, por ello, estudian el comportamiento de los usuarios, páginas que más visitan, hora de conexión, etc.

Con sus conocimientos los hackers son capaces de conseguir las pulsaciones de las teclas, esto se hace con una combinación de cuadro de textos, iframe y hojas de estilos. Por ejemplo, los hackers crean sitios web similares a las tiendas online o bancos para obtener la información de la persona y suplantar su identidad. En este sentido, la Unión Europea elaboró en el 2011 una normativa llamada ley de cookies. La misma exige notificar a los portales que almacenan datos de los usuarios incluir una advertencia sobre esta amenaza.

Se puede establecer que el secuestro de clic tiene unos objetivos bien específicos:

  • Observar a los usuarios y escuchar, de hecho, algunos malwares pueden controlar la cámara web y el micrófono.
  • Robar los datos como contraseñas, información de cuentas bancarias, tarjetas de créditos, pasarelas de pago, etc.
  • Redirigir a los usuarios a páginas web con contenido malicioso.

Tipos de ataques de secuestro de clic

Según la naturaleza del ataque se clasifican en:

  • Likejacking: Este tipo de trampa tiene como finalidad capturar los clics de los usuarios y redirigirlos a un “Me gusta” de una red social como Twitter o Facebook. Cuando ocurre esto el malware se activa y empieza a recopilar información sobre las acciones de la persona.
  • Cookiejacking: Es una variante que busca llevar al usuario a interactuar con un elemento de la interfaz, por ejemplo, un formulario. De esta forma, el hacker captura las acciones en el website como el nombre y clave de acceso.
  • Cursorjacking: En este caso el atacante cambia la posición del cursor a un lugar diferente de la pantalla. Es decir, la persona cree que está realizando una acción mientras en realidad está realizando otra.
  • Ataques al administrador de contraseñas: En este caso la finalidad es engañar a los administradores de contraseñas para que utilicen su funcionalidad de autocompletar.

Los tipos de ataques clickjacking son perjudiciales, los hackers tienen la posibilidad de tomar el control del computador del usuario y realizar cualquier tipo de estafa. En el caso de un eCommerce una sustracción de información o fraude puede afectar negativamente la imagen de la marca.

¿Cómo protegerse del clickjacking?

Figura 2. Los tipos de ataques clickjacking son perjudiciales, los hackers tienen la posibilidad de tomar el control del computador del usuario y realizar cualquier tipo de estafa.

Seguidamente te menciono cómo prevenir este tipo de ataque:

1.- Protege al navegador

La empresa puede tener la mejor tecnología de protección, sin embargo, los hackers se aprovechan de los usuarios incautos. Es recomendable instalar una extensión como NotScript en el navegador que permite identificar dominios seguros. Esto permite que cada vez ingreses a una página web tengas la certeza que estás es un espacio digital real, minimizando el riesgo que los hackers puedan obtener tus datos.

2.- Bloquea las ventanas emergentes

Una buena práctica es bloquear las ventanas emergentes que en ocasiones toman el control de la página donde te encuentras navegando. Los hackers utilizan estos elementos para instalar programas maliciosos en los computadores o dispositivos inteligentes. Realizar esta tarea es un proceso muy sencillo, en el caso que uses el navegador Google Chrome solo debes seguir los siguientes pasos:

  • Inicializa tu navegador.
  • En la esquina superior derecha busca la opción <configuración> y haz clic.
  • Luego busca opción privacidad y seguridad, allí vas hacer clic en <configuración del sitio>.
  • Selecciona ventanas emergentes, solo debes hacer clic en la opción bloqueado.

3.- Emplea autenticación en dos pasos

Este método de autenticación proporciona un paso adicional para demostrar que efectivamente que eres él usuario que trata de realizar una determinada acción en lugar de un atacante. Por ende, el sistema te enviará un código de seguridad o mensaje de texto a tu dispositivo móvil para validar que realmente eres tú.

4.- Presta atención a los correos electrónicos de dudosa procedencia

Figura 3. Los hackers envían emails a los usuarios con el objetivo de que abran y hagan una acción como un clic en un enlace, lo recomendable es eliminar aquellos correos electrónicos de remitentes desconocidos.

Los hackers envían emails a los usuarios con el objetivo de que abran y hagan una acción como un clic en un enlace, lo recomendable es eliminar aquellos correos electrónicos de remitentes desconocidos. Te aconsejo a instalar un programa anti spam, el mismo se integra a tu servicio de correo, a continuación, te menciono algunos:

  • K9 Anti spam: Es de uso gratuito, de manera automática categoriza los emails y los de dudosa procedencia los envía al correo no deseado.
  • Xeeon: Permite controlar y proteger de manera eficiente el buzón de correo electrónico, básicamente comprueba la autenticidad de los emails que recibes, lo que no cumplen con sus criterios son bloqueados.
  • Inboxer - Antispam: Es un programa que permite filtrar, bloquear y hasta eliminar emails no deseados de manera eficiente, es empleado por el servicio de correo de Outlook.

5.- Evita hacer clics en anuncios o noticias extravagantes

Algunos portales buscan llevarte a espacios maliciosos donde pueden ejecutar incursiones e infectar tu equipo de virus. Por ende, procura no realizar clics en publicidades que prometan cosas como que vas a ganar grandes cantidades de dinero de manera fácil, soluciones mágicas, etc. Te recomiendo que busques información en páginas web que utilicen certificados de seguridad y que tengan credibilidad.

6.- Evita instalar juegos en el navegador

Los atacantes se aprovechan de esta puerta de entrada, ya que los usuarios deben realizar configuraciones y es el espacio que utilizan para lanzar la incursión. Estos programas maliciosos se instalan y se ejecutan en segundo plano monitoreando todas las acciones que realiza la persona cuando está navegando en las páginas.

En resumen, la protección de tus datos financieros y personales es algo que debes tomar muy en serio, por ello, es necesario que conozcas qué es el secuestro del clic. Para prevenir este tipo de ataque recomiendo lo siguiente: bloquear ventanas emergentes, emplear autenticación en dos pasos, prestar atención a los correos electrónicos de dudosa procedencia, etc.

Carlos Herrera

Ingeniero de Sistemas, Profesor Universitario, Copywriter.

Divulgación de los afiliados

Este artículo puede contener enlaces de afiliados. El autor podrá ganar un porcentaje de comisión por cada venta realizada. Lea aquí para más información.

Affiliate Disclosure

This article may contain affiliate links. The author may earn a percentage of commission for each sale made. Read this for more information.

Mensajes Relacionados
Django, el CMS basado en Python

¿Buscas un CMS basado en Python? Con Django podrás crear sitios web y llegar a tu público objetivo, por este motivo te presentamos sin ventajas y principales características

Mejores plugins para proteger de tráfico invalido a AdSense

¿Estás buscando la manera de proteger de tráfico invalido a AdSense? En este artículo conocerás los mejores plugins de Google AdSense para revertir esta situación.

Ventajas y desventajas de usar Python en la programación web

Conoce las ventajas y desventajas de usar Python en la programación web

¿Qué es metaverso y cómo funciona?

¿Quieres vivir una experiencia digital similar a la de la vida real? Conoce que es qué es metaverso, una ingeniosa idea con la que puedes comprar, trabajar y comunicarte con otros desde el mundo virtual.