Hace ya algún tiempo que esta amenaza ha sido descubierta y no por ello se tiene la certeza de que haya sido correctamente subsanada. El clickjacking o robo de enlaces es una vulnerabilidad que no tiene solución de momento. La forma que se ha encontrado para solucionar este problema es volver a los navegadores de hace 10 años que sólo admitían texto plano y poco más.
Esta vulnerabilidad no ataca al sistema operativo como suele ser normal, sino que se centra en explotar las carencias de los navegadores. Por lo tanto no están libres ni Linux ni Mac de ellos, como tampoco lo están de otras amenazas que tienen más que ver con la confianza de los usuarios hacia determinados sitios que con problemas de virus o seguridad de los sistemas operativos.
La técnica de los enlaces robados engaña al usuario utilizando una “capa transparente” colocada delante de la página del usuario en la zona donde hay enlaces o cuadros de diálogo intentando que el usuario los active sin ser consciente. Con ello se pueden modificar políticas de privacidad de los sitios que visitamos, se crean sitios de phishing más creíbles colocando la página auténtica debajo de la capa transparente, u obtención de beneficio en la publicidad basada en clicks.
Es ésta la versión moderna de los trileros que escondían la bolita en un vaso y lo iban moviendo lentamente de forma que todo el mundo sabía debajo de cuál de los tres vasos estaba. Cuando el incauto apostaba el trilero cambiaba la técnica y nunca acertabas donde estaba la bola. En este caso es lo mismo, se basan en tu confianza para acceder a determinados sitios que crees que son seguros pero en realidad tienes una capa interpuesta que te tapa la página donde quieres acceder.
Para solucionarlo se pueden deshabilitar las opciones de scripts, plugins y JavaScript en el navegador. Existen soluciones específicas para Firefox instalando el complemento NoScripts y configurándolo. En Opera podemos deshabilitar la opción de Iframes. Todas estas opciones afectarán al modo en que véis y os relacionáis con las páginas web que visitáis.
Os comentaré brevemente mi experiencia con los navegadores capados pues es lo que hacen estas restricciones de seguridad. La mitad de las páginas no funcionan bien. No cargan todas las funcionalidades y por ejemplo cosas como vídeos o mapas interactivos de páginas, es decir, iframes, no se cargan, aunque depende de como esté programada la página te lo avisa.
Mi consejo es que si no tenéis que trabajar en un entorno ultraseguro no implementéis estas medidas de seguridad o en caso de hacerlo, utilizad un navegador para entrar a sitios seguros y otro para navegar en el resto de sitios. Así se mantiene un entorno seguro para entrar en tu página del banco o para realizar compras y otro navegador para el resto de páginas que visitas habitualmente.