Un hallazgo en BSides Tallinn reabre el frente del clickjacking con CSS y SVG

Lyra Rebane reveló en octubre, durante BSides Tallinn, una técnica de clickjacking con CSS y SVG que utiliza filtros aplicados sobre iframes para provocar filtraciones entre orígenes. El enfoque debilita supuestos del mismo origen, y ya motivó un reconocimiento de bug bounty por parte de Google, mientras los navegadores evalúan mitigaciones.

La demostración une manipulación de interfaz y efectos visuales con filtros SVG capaces de cruzar límites de origen bajo condiciones específicas. El resultado amplía la superficie de ataque y dificulta la detección, además de cuestionar la robustez de controles centrados exclusivamente en el embebido.

Impacto del clickjacking con CSS y SVG en el modelo de origen

El clickjacking con CSS y SVG afecta a flujos de interacción donde los iframes median operaciones sensibles, desde autenticación hasta vistas previas de contenido. Sin embargo, el punto crítico es la exfiltración indirecta propiciada por filtros que interactúan con contenidos de otro origen.

El hallazgo reaviva debates sobre la suficiencia de marcos de protección actuales y sobre la necesidad de instrumentación adicional a nivel de UI. Para contexto, OWASP mantiene referencia sobre clickjacking en su portal oficial (OWASP), y la documentación técnica de filtros SVG está disponible en MDN Web Docs.

Reacción de la industria ante el clickjacking con CSS y SVG

El sector reconoce la gravedad del clickjacking con CSS y SVG: el pago de un bug bounty por Google marca un precedente y acelera conversaciones sobre parches. No todos los navegadores han desplegado mitigaciones completas; además, hay enfoques en evaluación que buscan cerrar fugas sin romper experiencias legítimas.

La fragmentación entre motores obliga a un seguimiento cercano de las notas de seguridad de cada proveedor. Por lo tanto, la disponibilidad de arreglos podría variar por plataforma y versión en el corto plazo.

Detalles técnicos de la demostración

• Composición de capas con CSS que superponen elementos sobre un iframe de otro origen.
• Aplicación de filtros SVG cuya evaluación puede inducir fugas de información entre orígenes bajo ciertos escenarios.
• Interacción del usuario redirigida a objetivos no visibles (UI redress) que facilita acciones no deseadas.
• Debilitamiento práctico de supuestos de aislamiento al combinar filtros, opacidad y eventos sobre iframes.
• Reconocimiento mediante programa de recompensas y discusión activa de mitigaciones por parte de proveedores.

El interés académico y de la industria por el clickjacking con CSS y SVG sube de nivel a medida que se documentan más casos de prueba. Sin embargo, la falta de una solución uniforme mantiene el riesgo operativo en entornos con contenido embebido de alto valor.

Se esperan nuevas comunicaciones de los navegadores sobre el estado de los parches y posibles cambios de comportamiento en filtros y embebidos. El clickjacking con CSS y SVG continuará en el foco hasta que la cadena de renderizado y los límites entre orígenes queden cerrados de forma consistente.