Estos días he estado un poco offline y al chequear mi feed veo que el clickjacking de Facebook sigue dando que hablar, varias empresas de seguridad han publicado artículos sobre el tema para alertar a los usuarios.
La técnica consiste en ocultar un botón de «Me gusta» en una página para que el usuario le haga clic sin saberlo, de esta forma se publica un mensaje en su perfil y se propaga entre los contactos curiosos.
Un ejemplo de su funcionamiento se puede ver en esta página de pruebas del foro.
Internet Explorer 8, Opera, Safari y Chrome incluyen una protección contra el clickjacking, para verlo en funcionamiento hay que utilizar alguna versión anterior de IE o Firefox (sin NoScript).
Desde hace varias semanas el tema está dando vueltas y las campañas son cada vez más frecuentes, la mayoría parecen ser simplemente pruebas pero se han detectado casos en los que las víctimas son redireccionadas a páginas de encuestas, otros buscan aumentar el tráfico hacia sus sitios, situaciones maliciosas en las que se intente infectar o robar información (phishing) no se han detectado.
Si bien no se trata de una vulnerabilidad, muchos se preguntan si no es hora de que Facebook tome alguna medida y modifique el botón, más vale prevenir que lamentar.