Los codificadores conquistan la seguridad: serie Share & Learn - Clickjacking
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Susie abre su correo electrónico para escapar de un informe desagradable que debe entregarse en dos días. Ve un enlace para obtener un iPad gratis en su bandeja de entrada. Tras hacer clic en él, se dirige a un sitio web con una gran portada en la que se lee: «¡Haga clic aquí para obtener su iPad gratis!». Hace clic en el botón, pero en realidad no parece que pase nada. El problema es que algo pasó.
Después de volver a su bandeja de entrada, se da cuenta de que todos sus correos electrónicos se han eliminado. Ni siquiera presionó «borrar» en ninguno de ellos. ¿Qué pasa?
El sitio de correo electrónico ha sido objeto de un ataque de clics. El hackeo de clics engaña a los usuarios para que realicen acciones que no tenían la intención de realizar, y puede ocasionar problemas graves.
Veamos ahora cómo funciona el hackeo de clics, por qué es peligroso y qué pueden hacer los desarrolladores como tú para evitarlo:
Entiende el clickjacking
Hackeo de clics, también denominado «ataque de reparación de la interfaz de usuario», se produce cuando un atacante utiliza varias capas transparentes en una página web para engañar al usuario para que haga clic en un botón o enlace en el que el usuario no tiene intención de hacer clic.
¿Alguna vez te ha quedado un bicho atrapado en tu coche? Vuelan furiosamente contra la ventana intentando salir volando. La intención del bicho es volar hacia lo que parecen árboles y volar al aire libre, sin darse cuenta de que el cristal bloquea su camino.
El clickjacking tiene un diseño similar, excepto que el usuario es el error y tu sitio web es el cristal que bloquea el camino. El usuario ve algo que quiere, como un iPhone gratis. El atacante coloca tu sitio dentro de un marco transparente en la parte superior del anuncio gratuito del iPhone. Cuando el usuario hace clic en el botón para hacerse con el supuesto premio «gratuito», en realidad está haciendo clic en un botón de tu sitio web y realizando una acción que no pretendía.
Por qué es peligroso el hackeo de clics
¿Qué puede hacer un atacante con el clickjacking? Depende en gran medida de la funcionalidad del sitio web en cuestión.
El atacante podría hacer que un usuario dar me gusta o compartir el sitio del atacante en las redes sociales. Esto se puede lograr fácilmente, ya que muchas personas permanecen conectadas a sus cuentas de redes sociales por motivos de comodidad.
Si su sitio se puede colocar en un marco, se puede completar una operación sensible haciendo clic en un botón, y esto puede actuar como un vector de ataque. Por ejemplo, un usuario hace clic para obtener un iPad gratis, pero en su lugar cambia la configuración de la cuenta en tu sitio web para reducir la seguridad de la cuenta. Se produjo un ataque de este tipo contra el Página de configuración del complemento Adobe Flash. La configuración podría colocarse en un marco transparente, engañando al usuario para que permitiera que cualquier animación Flash accediera al micrófono y a la cámara. Los atacantes podían entonces grabar a la víctima, lo que constituía una importante invasión de la privacidad.
Un cliente de correo electrónico podría estar encuadrado en un sitio, lo que haría que el usuario eliminara todos los correos electrónicos de su buzón o los reenviara a una dirección de correo electrónico controlada por el atacante.
La conclusión es que el usuario no puede ver en qué está haciendo clic, por lo que puede convencerse de que haga clic en cualquier cosa. Ya sea para compartir contenido en redes sociales o para descargar malware, las posibilidades son enormes.
Cómo derrotar al clickjacking
El robo de clics se puede prevenir. El forma recomendada prevenir el hackeo de clics es definir un política de seguridad de contenido o CSP, para tu sitio. Con el encabezado de respuesta HTTP «frame ancestors», puedes controlar cómo se puede enmarcar tu sitio.
- «frame-ancestors none»: ningún otro sitio puede enmarcar el tuyo. Esta es la configuración recomendada.
- «frame-ancestors self»: las páginas de tu sitio solo pueden enmarcarse con otras páginas de tu sitio.
- «frame-ancestors self<uri list="">: su sitio puede estar enmarcado por los sitios de las listas de URI y no</uri> por otros.
CSP frame-ancestors no es compatible actualmente con todos los principales navegadores. Utilice el encabezado HTTP «X-Frame-Options» como opción alternativa para estos navegadores.
- DENEGAR: nadie puede enmarcar tu sitio. Esta es la configuración recomendada
- SAMEORIGIN: lo mismo que «self» para CSP. Puedes enmarcar tu propio contenido, pero nadie más puede hacerlo.
- <uri>ALLOW-FROM: permite que la URI especificada enmarque el contenido</uri>.
No dejes que te secuestren
El hackeo de clics es un ataque inteligente y engañoso que puede provocar daños en la reputación y pérdidas de ingresos si los atacantes pueden manipular tu producto. Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre el hackeo de clics.
Usa una política de seguridad del contenido y un encabezado «X-Frame-Options» para evitar que otros usen tu sitio de forma malintencionada. No permitas que los atacantes manipulen a tus usuarios. No dejes que te roben los clics.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
