¿Qué es el clickjacking?

Pocas aplicaciones son tan seguras como el software bancario para dispositivos móviles, pero incluso estas podrían dejar en mano de cibercriminales tu información más preciada y confidencial, como las credenciales de inicio de sesión y los detalles de contacto.

El clickjacking hace que robar información confidencial y privada sea tan rápido y sencillo como iniciar sesión en una aplicación. Tipos de malware como el Svpeng son un buen ejemplo de la eficacia y la prevalencia de este tipo de delito.

El clickjacking le permite al hacker insertar una capa de interfaz de usuario invisible entre la víctima y lo que aparece en la pantalla del dispositivo.

Es posible confundir lo que se ve después de iniciar sesión con la página del banco, pero lo que realmente aparece es una réplica de la misma pantalla superpuesta sobre la información real del banco.

Cuando introduces tu información privada, los datos no van a la plataforma bancaria para su verificación, en su lugar se dirigen a los servidores de archivos que los cibercriminales mantienen para apropiarse de la información de acceso de las cuentas.

Clickjacking comercial

En julio de 2017, Roman Unuchek de Kaspersky Lab, un analista sénior especializado en malware, informó a través del blog SecureList que el malware Svpeng se estaba “volviendo viral”. Svpeng apareció inicialmente en 2013 y su finalidad era robar datos bancarios de usuarios de dispositivos Android. Después de que se descargaba en un dispositivo móvil, este efectuaba clickjacking sobre los datos de usuario, pero el problema va mucho más allá.

Después de que el malware obtiene acceso a los privilegios del administrador, este puede elegir qué pantallas de superposición utilizar, enviar y recibir mensajes de texto SMS, hacer llamadas telefónicas y acceder a los contactos.

A continuación, el malware envía capturas de pantalla y cualquier otro material secuestrado desde el dispositivo a un servidor de comando y control operado por los hackers. Este material podría incluir contactos, aplicaciones instaladas, registros de llamadas y mensajes SMS, lo cual es algo especialmente problemático, ya que los bancos suelen enviar códigos de verificación a los usuarios a través de este tipo de mensajes.

Según Unuchek, en el transcurso de una semana, Svpeng se extendió por 23 países.

El clickjacking puede ocurrir en casi cualquier plataforma

Aunque los teléfonos Android parecen ser particularmente vulnerables al clickjacking, esto puede ocurrir en cualquier equipo con acceso a Internet: dispositivos móviles, tablets PC, equipos de escritorio y computadoras portátiles.

A mediados de 2016, Google eliminó los anuncios con capas transparentes, ya que servían para engañar a millones de usuarios con vínculos que los llevaban a sitios web no solicitados. En muchos casos, estos sitios web contenían malware, adware e incluso spyware que se descargaba e instalaba, a veces sin el conocimiento del usuario.

Empresas sin escrúpulos pueden utilizar páginas alteradas con técnicas de clickjacking para activar pedidos con un solo clic desde Amazon. En plataformas de redes sociales como Facebook, pueden crear “Me gusta” artificiales en publicaciones (lo que se denomina “likejacking”), o conseguir seguidores involuntarios en Twitter. Los clickjackers también descargan malware para obligar a los usuarios a hacer clic en anuncios invisibles de manera fraudulenta, según MarketingLand.com.

Cómo protegerse del clickjacking

Una de las formas más habituales en que el software de clickjacking llega a los dispositivos es a través de correos electrónicos dirigidos. Por desgracia, en un mundo donde los hackers han robado miles de millones de cuentas de clientes con datos de contacto, es muy fácil para los cibercriminales comprar esta información. Es muy probable que los cibercriminales tengan al menos tu cuenta de correo en un archivo junto con tu institución bancaria asociada.

Ten cuidado cuando recibas mensajes de correo electrónico bancarios en los que se pida atender asuntos urgentes. En estos mensajes se te pide que hagas clic en un vínculo, y ese vínculo podría llevarte a un sitio web de aspecto idéntico al de tu banco o al de otro sitio web oficial, desde donde pueden engañarte y hacer que descargues la versión más reciente de la supuesta aplicación del banco o completar información del perfil.

Si el objetivo es hacerte descargar una aplicación, entonces la aplicación probablemente sea malware ideado para interceptar y robar tus credenciales. En otros casos, el sitio web podría ser el origen del malware que entra en el dispositivo. Independientemente de cómo ocurra, el malware presenta falsas capas de formulario para que las rellenes.

También es importante evitar hacer clic en anuncios en Google o Facebook que ofrezcan algo demasiado bueno para ser verdad o que promuevan noticias o artículos poco comunes. En algunos casos, hacer clic en estos elementos podría llevarte a un sitio web que descargue software de clickjacking en la computadora. En su lugar, verifica dicha información en un canal alternativo, como un periódico de confianza y con trayectoria. Si la información es real, será fácil encontrarla en medios de comunicación válidos.

Siempre descarga aplicaciones en dispositivos a través de bibliotecas de aplicaciones autorizadas. Estas bibliotecas tienen tanto agentes de software como personas trabajando para erradicar el malware y filtrar el contenido adecuado. No siempre es fácil detectar sitios web falsos o interfaces invisibles, pero una buena dosis de escepticismo en el momento de manejar asuntos web puede contribuir en gran medida a disfrutar de una experiencia de usuario satisfactoria.

Artículos relacionados:

• ¿Qué es el adware?
• ¿Qué es un troyano?
• Datos y preguntas frecuentes sobre virus informáticos y malware
• Spam y Phishing

Productos relacionados:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Antivirus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security para Android