Clickjacking: definición, tipos de ataque y consejos clave de protección

Inicio » Windows » Clickjacking: definición, tipos de ataque y consejos clave de protección

El clickjacking se ha convertido en uno de los trucos más sigilosos dentro del mundo de la ciberseguridad: todo parece normal en la pantalla, haces clic donde crees que debes… y, sin verlo, estás autorizando algo totalmente distinto en segundo plano. No hay ventanas raras ni descargas extrañas, solo una interfaz manipulada para que pulses justo donde quiere el atacante.

Este tipo de ataque, también conocido como secuestro de clics o redireccionamiento de interfaz de usuario, combina ingeniería social y técnicas web como iframes y hojas de estilo para superponer capas invisibles sobre páginas legítimas. El resultado es que puedes acabar instalando malware, entregando tus credenciales bancarias o activando la cámara sin sospecharlo. Vamos a ver qué es exactamente, qué variantes existen y, sobre todo, qué puedes hacer para protegerte como usuario y como administrador de sitios web.

Qué es el clickjacking y por qué es tan peligroso

El clickjacking es una técnica en la que el atacante “secuestra” tus clics para redirigirlos a elementos ocultos en una página diferente a la que crees estar usando. Tú ves un botón aparentemente inofensivo (cerrar un anuncio, participar en un sorteo, dar like…), pero ahí encima o debajo hay un iframe o una capa transparente que contiene un botón real y peligroso.

La clave está en la superposición de interfaces: el sitio legítimo se carga normalmente, pero el ciberdelincuente agrega por encima una interfaz transparente, casi invisible, que es la que realmente recibe el clic. Esto puede conseguirse con HTML, CSS personalizado e iframes que cargan contenido de otros dominios, aprovechando funcionalidades estándar de la web.

A diferencia del phishing clásico, donde se clona una web falsa para que el usuario introduzca sus datos, en el clickjacking muchas veces la víctima está viendo la página real de su banco, de su red social o de un servicio conocido. El truco no está en la falsificación total del sitio, sino en la capa superior que intercepta la interacción.

El término “clickjacking” fue acuñado en 2008 por Jeremiah Grossman y Robert Hansen, y desde entonces la técnica ha evolucionado mucho. Hoy en día, los ataques pueden ir desde simples trampas para inflar “me gusta” hasta esquemas avanzados que activan la cámara web, registran pulsaciones de teclado o cambian configuraciones críticas de seguridad en servicios corporativos.

El impacto real para el usuario puede ser devastador: robo de credenciales bancarias, transferencias no autorizadas, compras en tiendas online, publicación de contenido en redes sin permiso, instalación de spyware o acceso remoto a recursos del dispositivo (cámara, micrófono, SMS, contactos…). Y todo con acciones tan cotidianas como hacer doble clic en un botón aparentemente legítimo.

Cómo funciona técnicamente un ataque de clickjacking

La mecánica de un ataque de clickjacking suele seguir una estructura bastante similar, aunque luego existan muchas variantes y niveles de sofisticación. A grandes rasgos, el proceso sería el siguiente:

1. Preparación de la página trampa
El atacante diseña una web llamativa o aparentemente inocente: puede ser una página de juegos, una supuesta noticia bomba, un falso formulario, un anuncio muy atractivo o una landing con un premio irresistible. El objetivo es que el usuario llegue a esa página y se vea motivado a hacer clic.

2. Inserción del contenido objetivo en un iframe oculto
Dentro de esa página, el ciberdelincuente incrusta un iframe que carga otra web: puede ser una parte de un banco online, una configuración de seguridad de un servicio SaaS, la pantalla de permisos de una app o una funcionalidad de redes sociales. Ese iframe se coloca con CSS de forma que quede alineado con el botón que se muestra al usuario, pero siendo invisible o casi transparente.

3. Manipulación visual mediante capas transparentes
Mediante estilos CSS (posición absoluta, z-index, opacidad muy baja, etc.) se sitúa la capa sensible justo debajo del área donde el usuario cree que está pulsando. A veces se utilizan cursores personalizados para desorientar, banners falsos o botones gigantes para guiar el ratón exactamente al punto deseado.

4. El clic del usuario dispara la acción encubierta
Cuando el usuario hace clic, cree que está cerrando un pop-up, iniciando un juego o aceptando algo inofensivo. Sin embargo, el clic se aplica al botón real del iframe: puede ser “Autorizar pago”, “Eliminar cuenta”, “Conceder permisos de administrador” o “Encender cámara/micrófono”. El usuario no ve la acción real, pero esta se ejecuta igual.

5. En ataques más avanzados, la víctima llega a introducir información sensible
En algunos escenarios, no se trata solo de hacer clic, sino de escribir. El atacante puede superponer un formulario falso sobre el formulario legítimo de inicio de sesión de un banco o servicio de alto valor. La víctima introduce usuario, contraseña, número de tarjeta o códigos de verificación convencida de estar en la interfaz correcta, y esos datos se envían directamente al servidor controlado por los criminales.

Clickjacking en móviles y banca online

Los dispositivos móviles, y en especial las apps bancarias, son un objetivo muy jugoso para este tipo de ataques. Por un lado, concentran información extremadamente sensible; por otro, la interacción táctil es perfecta para colocar capas invisibles “entre el dedo y la pantalla”.

En un escenario típico, el usuario abre su app bancaria, introduce su ID y su contraseña y cree que está viendo su panel de siempre. Sin embargo, una aplicación maliciosa instalada previamente puede colocar una interfaz superpuesta que imita esa pantalla, de forma que todo lo que el usuario escribe se envía a un servidor controlado por los atacantes.

Malware como Svpeng demostró lo rentable que puede ser este enfoque. Este troyano bancario para Android, que llegó a propagarse en decenas de países, utilizaba técnicas de clickjacking y superposición de pantallas para robar credenciales, acceder a SMS (incluidos códigos de verificación de los bancos), leer contactos, realizar llamadas, capturar pantallas y, en general, tomar el control del dispositivo una vez obtenidos privilegios de administrador.

Una vez que el malware consigue estos privilegios elevados, puede seleccionar qué pantallas superponer, decidir cuándo mostrar formularios falsos, y enviar al servidor de mando y control todo tipo de información: lista de apps instaladas, registros de llamadas, mensajes SMS, contactos… Con ello, los atacantes pueden burlar incluso sistemas de doble factor basados en mensajes de texto.

Este tipo de amenaza no se limita solo a Android. Cualquier plataforma con acceso a Internet y capacidad de mostrar interfaces (tablets, ordenadores portátiles, escritorios, otros sistemas móviles) puede ser objeto de ataques similares, aunque los mecanismos técnicos varíen en función del sistema operativo y de los permisos que concedan las aplicaciones.

Ejemplos reales y usos habituales del clickjacking

Aunque muchas veces se habla de clickjacking en abstracto, hay ejemplos muy concretos que muestran hasta qué punto se ha utilizado con éxito contra grandes plataformas y usuarios de a pie. Algunos casos frecuentes son:

Clickjacking en redes sociales (likejacking)
Aquí el objetivo suele ser inflar estadísticas o propagar enlaces maliciosos. El atacante oculta el botón real de “Me gusta” de una red social detrás de una imagen o un mensaje llamativo. El usuario cree que está pulsando sobre una foto o un texto atractivo y, en realidad, está dando like o siguiendo páginas y perfiles que no quería, ayudando a difundir campañas de spam o estafas.

Clickjacking en banca online y pagos
En entornos financieros, la técnica se utiliza para engañar al usuario y que autorice transferencias, cambios de configuración de seguridad o concesión de permisos API. Un clic que aparentemente cierra una ventana o acepta unas condiciones inocuas puede, en realidad, estar confirmando una operación económica de alto impacto.

Activación de hardware: cámara, micrófono o permisos críticos
Otro uso especialmente preocupante es emplear el clickjacking para conseguir que el usuario acepte permisos de acceso a la cámara web, al micrófono o a la ubicación. Un cuadro de diálogo que parece una simple confirmación puede esconder la típica ventana de “¿Quieres permitir que este sitio use tu cámara?”. Con un solo clic mal dirigido, el atacante puede abrir la puerta al espionaje.

Publicidad engañosa y descargas no deseadas
Se han detectado anuncios con capas transparentes que, al pulsarse, redirigen a sitios llenos de adware, spyware o instaladores de malware. En muchos casos, el usuario ni siquiera es consciente de que ha iniciado una descarga o autorizado la instalación de un componente malicioso, porque la interacción visual parecía inofensiva.

Fraude en comercio electrónico y marketplaces
Algunas campañas maliciosas han aprovechado sitios comprometidos para lanzar pedidos de “compra con un clic” en tiendas online como Amazon usando marcos ocultos. El usuario piensa que está participando en un sorteo o rellenando un formulario, pero en realidad está completando una compra no deseada con sus propios métodos de pago.

Principales tipos y variantes de clickjacking

El objetivo de fondo siempre es el mismo: engañar al usuario para que pulse donde no debe, pero hay varias variantes especializadas que merece la pena distinguir porque utilizan técnicas distintas y apuntan a objetivos diferentes.

Likejacking
Consiste en manipular botones de “Me gusta” o interacciones similares en redes sociales. El usuario cree que está interactuando con un contenido concreto (una noticia, una foto, un vídeo), pero en realidad está dando like, siguiendo o compartiendo otro contenido, normalmente con intenciones comerciales dudosas o directamente maliciosas.

Cursorjacking
En este caso el truco se basa en desalinear el cursor. El atacante enmascara la posición real del puntero mostrando un icono falso algo desplazado. Así, la víctima cree que está pinchando en un sitio cuando, físicamente, el clic cae en otro elemento distinto de la página o de un iframe invisibe. Es especialmente molesto y difícil de detectar si se hace con precisión.

Cookiejacking
Aquí el objetivo son las cookies del navegador. Mediante marcos superpuestos y engaños visuales, los atacantes logran que el usuario autorice operaciones que terminan exponiendo sus cookies, que contienen información de sesión y otros datos sensibles. Con ellas se pueden suplantar identidades y tomar el control de cuentas sin necesidad de contraseña.

Filejacking
En este tipo de ataque, los hackers colocan marcos invisibles sobre botones de “Examinar archivos” o similares. La víctima cree que está cargando un archivo para un propósito legítimo, pero en realidad está dando acceso a ubicaciones o documentos que el atacante puede leer o subir sin su conocimiento. Puede afectar a servicios en la nube o a interfaces web de almacenamiento.

Mousejacking
Esta variante va un paso más allá, ya que busca controlar a distancia las funciones del dispositivo, incluyendo movimientos de ratón y entrada de teclado. A través de vulnerabilidades en dispositivos inalámbricos o en software concreto, un atacante podría ejecutar comandos, pulsar botones o escribir código sin que el usuario toque nada.

Clickjacking sin navegador y ataques en múltiples pasos

No todo el clickjacking se ejecuta directamente en el navegador de forma clásica. Existen modalidades que afectan a sistemas móviles y que explotan el tiempo que pasa entre una alerta y la respuesta del usuario.

Clickjacking sin navegador (especialmente en Android)
En algunos smartphones, sobre todo Android, los atacantes colocan iconos o capas falsas justo en el intervalo entre que se lanza una notificación emergente y esta se muestra completamente. De esta forma, el usuario cree que está respondiendo a una alerta, cuando en realidad está pulsando en un elemento superpuesto que concede permisos o inicia acciones maliciosas.

Ataques autónomos de un solo clic
En los llamados ataques autónomos, basta con una única pulsación. Un marco invisible está colocado sobre un botón de la página, y con ese solo clic ya se ejecuta la acción no autorizada: suscribirse a un servicio, dar acceso a una API, realizar una compra o eliminar una cuenta. Son rápidos y muy difíciles de percibir por el usuario.

Ataques de múltiples pasos
En otros escenarios, el ciberdelincuente necesita varias interacciones encadenadas. Por ejemplo, para completar una compra no autorizada, primero hay que añadir el producto al carrito, luego confirmar la dirección y después pulsar “Pagar”. El atacante puede diseñar varios marcos invisibles en secuencia, de forma que cada clic del usuario vaya ejecutando uno de esos pasos sin que se dé cuenta.

Ataques combinados con otras vulnerabilidades (como DOM XSS)
Los ataques de clickjacking también pueden servir como puerta de entrada a amenazas más complejas. Una combinación frecuente es la del clickjacking con DOM XSS, en la que se aprovechan fallos en el código del lado del cliente para modificar el comportamiento de la página y ejecutar acciones no autorizadas.

En estos ataques combinados, el primer clic engañado puede ser solo el detonante de una cadena de exploit más grande, en la que se inyecta código, se roban tokens de sesión, se manipulan formularios o se interceptan comunicaciones entre el usuario y el servidor.

Double-clickjacking: cuando el problema es el segundo clic

Una evolución reciente muy llamativa es el llamado double-clickjacking, que aprovecha algo tan habitual como hacer doble clic rápidamente en un botón. Los navegadores llevan años incorporando defensas frente a ataques de un solo clic, pero no siempre contemplan bien la secuencia de dos clics seguidos.

En este esquema, el atacante inserta un elemento malicioso entre el primer y el segundo clic. Imagina que aparece un botón de confirmación o un captcha sospechoso. Al hacer el primer clic, en lugar de ejecutar directamente la acción, se cierra una ventana invisible o se reconfigura la interfaz, y se coloca otro elemento (un botón crítico) justo bajo el puntero para el segundo clic.

Cuando el usuario realiza el segundo clic “por inercia”, pensando que solo está confirmando algo normal, en realidad está lanzando una acción totalmente distinta y sensible: aprobar un pago, conceder permisos avanzados, activar una integración de API de alto riesgo o cambiar una configuración de seguridad en un panel corporativo.

Este tipo de ataques ya se ha explotado con éxito en plataformas legales y muy extendidas, como Slack, Shopify o Salesforce, donde un simple doble clic en el contexto adecuado ha llegado a permitir modificaciones en políticas de seguridad, aceptación de integraciones peligrosas o autorizaciones de operaciones económicas.

El gran problema del double-clickjacking es que es extremadamente difícil de detectar desde el punto de vista del usuario. No hay webs falsas ni descargas raras, y muchas veces ni siquiera hay redirecciones externas: todo sucede dentro de la propia plataforma legítima, aprovechando vulnerabilidades de interfaz. Además, las protecciones integradas en navegadores y aplicaciones suelen estar centradas en clics únicos, no en la lógica del segundo clic.

Consecuencias del clickjacking para usuarios y empresas

Las consecuencias del clickjacking van mucho más allá de una simple molestia. Dependiendo del contexto y del objetivo del atacante, el impacto puede ser leve o absolutamente crítico para la víctima, tanto a nivel personal como corporativo.

Robo de credenciales e identidad digital
Cuando las capas superpuestas se colocan sobre formularios de inicio de sesión o de recuperación de cuenta, el atacante puede capturar usuarios, contraseñas, PIN o códigos de verificación. Con esos datos, es capaz de acceder directamente a banca online, correos electrónicos, redes sociales o paneles de administración.

Transacciones financieras y compras no autorizadas
En sistemas de pago y comercio electrónico, un clic secuestrado puede bastar para autorizar transferencias, realizar compras, modificar datos de pago o aceptar cargos periódicos. Muchas víctimas no se dan cuenta hasta que revisan sus extractos bancarios o reciben avisos de movimientos sospechosos.

Propagación de malware y spyware
Algunos ataques de clickjacking están diseñados para desencadenar descargas silenciosas de software malicioso. La víctima pulsa en lo que parece ser un enlace a una noticia o un vídeo, y en realidad está descargando un troyano, un ransomware o un spyware que se instalará en segundo plano si el sistema no está bien protegido.

Control de dispositivos y espionaje
En los casos más graves, el uso de capas invisibles permite al atacante obtener permisos para acceder a la cámara, el micrófono, los SMS, la ubicación o el almacenamiento del dispositivo. A partir de ahí, puede espiar, registrar conversaciones, capturar documentos o incluso tomar el control completo del sistema.

Daño reputacional y explotación de redes sociales
En redes sociales, el clickjacking puede utilizarse para generar likes, seguidores o publicaciones automáticas sin que el usuario lo sepa. Esto no solo afecta a la imagen de la víctima, sino que contribuye a la expansión de campañas fraudulentas, bulos o estafas que se propagan aprovechando la confianza de sus contactos.

Cómo protegerte del clickjacking como usuario

La primera línea de defensa eres tú mismo. Aunque haya medidas técnicas muy potentes por parte de los desarrolladores y de los navegadores, la realidad es que muchos ataques de clickjacking se apoyan en la curiosidad, las prisas y la falta de atención del usuario. Algunos consejos prácticos:

Desconfía de correos, anuncios y enlaces demasiado llamativos
Buena parte de estas campañas empieza con un email “urgente”, una oferta increíble o una noticia espectacular que te empuja a hacer clic. Si algo suena demasiado bueno (o demasiado alarmante) para ser cierto, tómate un segundo para comprobar la fuente y, si es posible, busca esa información por tu cuenta en un medio fiable en lugar de fiarte del enlace.

Evita instalar aplicaciones de fuentes no oficiales
En móviles, especialmente en Android, muchas apps maliciosas se cuelan fuera de las tiendas oficiales. Instalar solo desde Google Play, App Store u otros repositorios autorizados reduce mucho la probabilidad de que acabes con un malware diseñado para superponer pantallas y robar datos.

Mantén el sistema operativo y el navegador siempre actualizados
Las vulnerabilidades que permiten ciertos tipos de clickjacking se corrigen con bastante rapidez una vez descubiertas. Si tu navegador, sistema operativo o apps clave están desactualizados, estás dando ventaja al atacante. Activa las actualizaciones automáticas siempre que sea posible.

Usa extensiones de seguridad de confianza (NoScript, ScriptSafe, uBlock Origin…)
Algunos complementos permiten bloquear scripts y contenidos incrustados sospechosos, o incluso hacer visibles marcos invisibles. Eso sí, debes tener en cuenta que pueden romper partes de páginas legítimas y empeorar la experiencia de uso, así que conviene configurarlos con cabeza y elegir siempre fuentes de confianza.

Fíjate en detalles extraños en la interfaz
Si notas ventanas emergentes que no esperabas, botones desalineados, elementos que se tapan unos a otros o solicitudes de doble clic poco habituales, mejor párate y revisa. También es buena idea evitar hacer doble clic rápido en elementos críticos, y leer con calma los mensajes de confirmación antes de pulsar en “Aceptar”.

Medidas técnicas de protección para desarrolladores y empresas

Desde el lado del servidor y del desarrollo web, hay varias defensas muy efectivas que reducen drásticamente el riesgo de que tu sitio sea utilizado en un ataque de clickjacking. Aunque ninguna medida aislada es infalible, una estrategia por capas complica mucho la vida al atacante.

Cabecera X-Frame-Options
Es uno de los mecanismos clásicos. Se trata de un encabezado HTTP que indica al navegador si una página puede o no mostrarse dentro de un iframe. Sus valores principales son:

• DENY: impide que cualquier dominio muestre la página en un marco.
• SAMEORIGIN: solo permite que el propio sitio original la enmarque.
• ALLOW-FROM https://example.com: autoriza solo a dominios concretos (aunque este valor no está soportado por todos los navegadores modernos).

Aunque X-Frame-Options tiene limitaciones en entornos multidominio, sigue siendo una capa sencilla de aplicar y muy útil combinada con otras políticas de seguridad.

Política de Seguridad de Contenidos (CSP) y directiva frame-ancestors
La CSP permite definir qué fuentes de contenido están autorizadas a cargar recursos en tu sitio. En lo que respecta al clickjacking, la directiva frame-ancestors es clave: puedes especificar qué orígenes están permitidos para enmarcar tus páginas.

• Content-Security-Policy: frame-ancestors ‘none’: prohíbe que cualquier sitio aloje tu contenido en un iframe.
• Content-Security-Policy: frame-ancestors ‘self’: limita los marcos al propio dominio.
• Content-Security-Policy: frame-ancestors https://ejemplo.com: solo autoriza determinados dominios.

Combinando CSP con X-Frame-Options se obtiene una protección mucho más robusta frente a intentos de cargar tu sitio en iframes de terceros con fines maliciosos.

Frame busting y scripts de eliminación de marcos
Otra técnica, útil sobre todo en navegadores antiguos, consiste en incluir scripts que detectan si tu página está cargada dentro de un marco y, en ese caso, fuerzan la salida (por ejemplo, haciendo que la página se abra en la ventana principal). Estos scripts también pueden intentar hacer visibles marcos invisibles o impedir que se pueda hacer clic sobre ellos.

Aunque estos métodos pueden ser sorteados por atacantes con conocimientos avanzados, siguen siendo una barrera adicional, especialmente cuando se combinan con cabeceras modernas y una buena configuración de CSP.

API Intersection Observer y controles de visibilidad
La API Intersection Observer permite a los desarrolladores saber si un elemento es realmente visible para el usuario y en qué medida. Usándola, se puede comprobar si una parte crítica de la interfaz (como un botón de “Eliminar cuenta”) está tapada por otra capa, incluso dentro de un iframe. Si el botón no es plenamente visible, se puede deshabilitar la acción o exigir una confirmación adicional.

Extensiones corporativas y seguridad del correo
En el ámbito empresarial, es recomendable combinar estas medidas con filtros de spam potentes que bloqueen correos falsificados o diseñados para llevar a los empleados a sitios trampa. Además, informar periódicamente al personal sobre este tipo de amenazas reduce la probabilidad de que hagan clic en enlaces peligrosos enviados por email.

Buenas prácticas adicionales para sitios sensibles

Más allá de los encabezados y las políticas, hay estrategias de diseño que ayudan a minimizar el impacto de un posible clickjacking o a hacerlo mucho más difícil de ejecutar con éxito.

No permitir que una sola pulsación ejecute acciones destructivas
En operaciones críticas (borrar cuentas, transferir grandes cantidades de dinero, cambiar configuraciones de seguridad), conviene exigir más de un factor: solicitar la contraseña de nuevo, pedir un código 2FA, mostrar un resumen de la operación y requerir una confirmación clara en un contexto difícil de replicar con un marco invisible.

Verificación del contexto de origen
En formularios y acciones sensibles, los desarrolladores deben validar no solo el contenido de la petición, sino también su origen, cabeceras, tokens CSRF y demás. Aunque esto no evita todo el clickjacking, complica la explotación y reduce la superficie de ataque.

Monitorización de patrones de clics anómalos
Si un servicio detecta que múltiples usuarios realizan clics repetidos en exactamente la misma coordenada, o que acciones críticas se ejecutan siempre tras un mismo tipo de evento visual, se pueden levantar alertas y analizar si existe un posible ataque de interfaz en marcha.

Formación y concienciación interna
En organizaciones con aplicaciones expuestas a Internet, es crucial que equipos de desarrollo, seguridad y soporte entiendan qué es el clickjacking y cómo mitigarlo. Esto incluye revisar las aplicaciones periódicamente, aplicar auditorías de seguridad y utilizar recursos como las guías de OWASP o formaciones especializadas.

Al final, el clickjacking es una mezcla de engaño visual y abuso de funcionalidades web legítimas. Es silencioso, invisible a simple vista y puede apoyarse en cadenas de ataques más complejos, pero también se puede mitigar con una combinación de sentido común al navegar, actualizaciones constantes, herramientas de seguridad adecuadas y buenas prácticas en el desarrollo de aplicaciones web y móviles.