Usuarios de Facebook son víctimas del clickjacking

BBC Mundo
Facebook

La técnica de clickjacking se usa para insertar enlaces invisibles dentro de un sitio web.

Cientos de miles de usuarios de la red social Facebook están siendo víctimas del clickjacking (secuestro de clics) advirtieron laboratorios de seguridad en la red.

La técnica de clickjacking se usa para insertar enlaces invisibles dentro de un sitio web o sobre los botones de una página, de tal forma que cuando un usuario da un clic encima de ella se infecta.

Los miembros de la red social ven aparecer en su perfil enlaces a "Copa del Mundo 2010 en HD" o "El teléfono de Justin Bieber" que parece que ha sido recomendado (like) por sus amigos.

Al hacer clic sobre el enlace, ellos mismos recomiendan el enlace a otros más dentro del sitio.

Según expertos de seguridad este "reenvío" de recomendaciones no tiene ninguna intención maliciosa pero podría ser adaptada para transmitir virus.

El enlace generalmente lleva a una página que contiene instrucciones como preguntar si el usuario es mayor de edad y obliga a hacer clic en un botón para confirmarlo.

Al hacer clic en la página, ésta agrega un enlace en el propio perfil de Facebook asegurando que "le gusta" el sitio.

La técnica

Por ahora, el propósito del clickjacking es trivial y no se convierte activamente en ningún virus ni phishing, dice Graham Cluley, consultor de tecnología de Sophos.

"Hasta este momento lo que hemos visto se parecen más a los virus de 'vieja escuela', creados por el mero hecho de ver cuántos seguidores se pueden conseguir. Pero nuestro presentimiento es que sería bastante fácil para los chicos malos introducir algunos virus de nueva generación", dijo Cluley a la BBC.

Además, el experto aseguró que el clickjacking funciona en todos los sistemas operativos.

El ataque a Facebook utiliza una técnica que en principio coloca un botón invisible en toda la página web. Así donde quiera que el usuario haga clic terminará por presionar el botón. En este caso, un botón oculto de "me gusta" de Facebook.

Para resolverlo, existe un plug-in gratuito llamado NoScript, construido para el navegador Firefox, que incluye advertencias que abren en nuevas ventanas sobre potenciales ataques de clickjacking.

Sin embargo, también interfiere con los videos en Flash, que se usan comúnmente en muchos sitios de internet. Además no es fácil de instalar, dice Cluley.

"Tienes que ser un poco nerd para configurarlo", asegura.

Entradas populares de este blog

Arreglando los foquitos de Navidad

¿Cuáles son los componentes básicos de la materia?

Este sitio usa imágenes de Depositphotos