Defaults.Exposed › Glossary › Clickjacking

Clickjacking

Also known as: ataque de superposición de interfaz, secuestro de clics

Un engaño en el que tu página web real se oculta dentro de la página de un atacante para que los visitantes pulsen cosas que no ven — se defiende con una configuración sencilla que impide que tu sitio sea incrustado en un marco.

Qué es

El clickjacking es un engaño. Un atacante carga tu página web genuina de forma invisible encima (o debajo) de su propia página, y luego atrae a un visitante para que pulse lo que parece un botón inofensivo. En realidad, el clic recae sobre tu sitio oculto — confirmando un pago, cambiando una configuración o aprobando algo que el visitante nunca pretendió. Tu sitio real está haciendo exactamente lo que se le indica; el visitante simplemente no puede ver lo que está pulsando de verdad.

Por qué le importa a tu negocio

Si tu sitio puede incrustarse en silencio en la página de otra persona, un estafador puede manejar a tus clientes como marionetas para que realicen acciones en sus propias cuentas — y, para el cliente, parecerá que lo hizo tu sitio. Eso es un golpe directo a la confianza y, potencialmente, al dinero de tus clientes.

La defensa es sencilla: una configuración que le dice a los navegadores «no permitas que mi sitio se muestre dentro del marco de otro sitio». Es invisible para los visitantes legítimos y desactiva la técnica por completo. Rara vez hay un motivo para que el sitio de un negocio corriente sea incrustable en otro lugar, así que suele ser una victoria segura y gratuita.

Cómo saberlo / qué hacer

Nuestro verificador gratuito te dice si tu sitio está protegido frente a ser incrustado en un marco. Si no lo está, la guía de corrección de clickjacking muestra cómo añadir la configuración protectora — un pequeño cambio que realiza quien gestiona tu página web, sin coste alguno.

Want to fix this on your own domain? See the free guide →