Clickjacking
¿Qué es Clickjacking?
ClickjackingAtaque de "UI redress" que engaña al usuario para que pulse algo distinto de lo que percibe, superponiendo u ocultando una página objetivo dentro de otra controlada por el atacante.
El clickjacking incrusta una página sensible (por ejemplo, ajustes de cuenta, consentimiento OAuth o confirmación de pago) dentro de un iframe en un sitio malicioso y la disfraza visualmente — a menudo mediante transparencias, superposiciones CSS cuidadas o un posicionamiento estratégico bajo botones señuelo. El usuario cree estar interactuando con la página visible, mientras que sus clics, toques o arrastres se entregan en realidad al marco oculto, ejecutando acciones en su sesión autenticada.
El término fue acuñado en 2008 por Jeremiah Grossman y Robert Hansen, quienes demostraron cómo enmarcar el gestor de ajustes de Adobe Flash para activar de forma silenciosa la webcam y el micrófono de la víctima. La defensa que surgió, la cabecera X-Frame-Options, se estandarizó como RFC 7034 (2013) y desde entonces ha sido reemplazada por la directiva frame-ancestors de Content-Security-Policy, que es más granular y admite múltiples orígenes permitidos. Las variantes siguen evolucionando: cursorjacking, robo de datos por arrastrar y soltar, y likejacking. A finales de 2024, el investigador Paulos Yibelo publicó "DoubleClickjacking", que explota el intervalo entre los dos eventos de un doble clic para intercambiar la página subyacente tras el primer clic, eludiendo X-Frame-Options, frame-ancestors y las cookies SameSite porque en el momento del clic no hay realmente ningún marco entre sitios presente.
Las defensas combinan controles de enmarcado (frame-ancestors 'self' o una lista de permitidos explícita), requisitos explícitos de gesto del usuario y de confirmación para acciones sensibles, la desactivación de botones hasta un breve retardo tras el enfoque, y cookies SameSite para limitar el estado entre contextos.
flowchart TD A[La víctima visita<br/>la página del atacante] --> B[UI señuelo:<br/>'Haz clic para ganar'] B --> C[Un iframe invisible carga<br/>el sitio objetivo real] C --> D[La víctima tiene sesión<br/>iniciada en el objetivo] B --> E[Una superposición transparente<br/>alinea el botón oculto] E --> F[La víctima hace clic en el señuelo] F --> G[El clic cae sobre el botón<br/>oculto 'Aprobar'] G --> H[La acción se ejecuta en<br/>la sesión de la víctima]
● Ejemplos
- 01
Una página invita al usuario a "hacer clic para ganar" con un iframe transparente sobre el botón que apunta a un diálogo de permisos de una red social.
- 02
Una superposición milimétrica engaña al usuario para que pulse "Aprobar" en una pantalla de consentimiento OAuth de una app del atacante.
● Preguntas frecuentes
¿Qué es Clickjacking?
Ataque de "UI redress" que engaña al usuario para que pulse algo distinto de lo que percibe, superponiendo u ocultando una página objetivo dentro de otra controlada por el atacante. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Clickjacking?
Ataque de "UI redress" que engaña al usuario para que pulse algo distinto de lo que percibe, superponiendo u ocultando una página objetivo dentro de otra controlada por el atacante.
¿Cómo defenderse de Clickjacking?
Las defensas contra Clickjacking combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Clickjacking?
Nombres alternativos comunes: Ataque de UI redress.