Loading
Configuración y mantenimiento de su organización de Salesforce
Índice de materias
Filtrar por (0)Agregar
Seleccionar filtros

          No hay resultados
          No hay resultados
          Estas son algunas sugerencias de búsqueda

          Compruebe la ortografía de sus palabras clave.
          Utilice términos de búsqueda más generales.
          Seleccione menos filtros para ampliar su búsqueda.

            Buscar en toda la Ayuda de Salesforce
            Buscar en toda la Ayuda de Salesforce
            Protección contra secuestro de clics

            Usted está aquí:

            1. Ayuda de Salesforce
            2. Documentos
            3. Configuración y mantenimiento de su organización de Salesforce

            Protección contra secuestro de clics

            Salesforce proporciona parámetros de Protección contra secuestro de clics para proteger su organización de ataques de reparación de la interfaz de usuario.

            Nombre de control

            Protección contra secuestro de clics

            Configuración recomendada

            • Activar la protección contra secuestro de clics en páginas de configuración
            • Activar la protección contra secuestro de clics para páginas de Salesforce que no sean de configuración
            • Activar la protección contra secuestro de clics para páginas Visualforce de clientes con encabezados estándar
            • Activar la protección contra secuestro de clics para páginas Visualforce con encabezados desactivados

            Configuración>Configuración de sesión>Protección contra secuestro de clics>Active todas las opciones de protección contra secuestro de clics.

            Descripción general de control

            Para proteger su organización de ataques de reparación de la interfaz de usuario, Salesforce proporciona parámetros de Protección contra secuestro de clics que evitan que los sitios web maliciosos integren sus páginas de Salesforce, como Configuración o páginas Visualforce personalizadas, en un iframe invisible.

            Riesgo de seguridad si no está configurado

            La no activación de la protección contra secuestro de clics expone a sus usuarios a ataques de reparación de la interfaz de usuario, donde un atacante incrusta sus páginas de Salesforce en un iframe invisible en un sitio malicioso para engañarlos para que realicen acciones no intencionadas como la eliminación de registros o la concesión de permisos. Este descuido crea un alto riesgo de modificación de datos no autorizada y compromiso de cuenta, ya que las interacciones de usuario legítimas se secuestran para ejecutar comandos maliciosos sin el Knowledge del usuario.

            Escenarios de amenazas

            Un atacante atrae a un usuario autenticado de Salesforce a un sitio web malicioso que aloja un iframe invisible de una página confidencial de Salesforce, como una pantalla Desactivación de usuario o Eliminación de registro, directamente sobre un botón de señuelo como "Reclamar su premio". Cuando el usuario hace clic en el señuelo, ejecuta sin saberlo el comando oculto de Salesforce, dando como resultado posiblemente la eliminación no autorizada de datos críticos de clientes o la elevación de los propios permisos del sistema de un atacante sin ninguna advertencia visible.

            Intervalo de puntuación de CVSS estimado

            Crítico (9,0 a 10,0).

            Consideraciones sobre el impacto del riesgo

            El impacto de riesgo principal implica un compromiso crítico de la confidencialidad de los datos y la integridad del sistema, donde la explotación de vulnerabilidades no mitigadas conduce a la exfiltración de datos no autorizada, acciones administrativas fraudulentas e incumplimiento normativo grave.

            Riesgo más alto cuando

            El riesgo se ve aumentado significativamente por una lista de Dominios de confianza demasiado permisiva, que puede permitir a sitios externos no de confianza o comprometidos omitir restricciones de enmarcado y alojar componentes invisibles de Salesforce. Además, descuidar la activación de la protección contra secuestro de clics para páginas Visualforce personalizadas o sitios de Experience Cloud mientras solo se asegura la configuración interna crea una "puerta trasera" vulnerable para que los atacantes se dirijan a usuarios no administrativos.

            Riesgo bajo o nulo cuando

            Para minimizar los riesgos de secuestro de clics, las organizaciones pueden utilizar Dominios de confianza para marcos en línea para incluir explícitamente en la lista blanca solo sitios externos autorizados, garantizando que el enmarcado esté restringido a entornos seguros conocidos. Además, la adopción de componentes web Lightning (LWC) con integraciones de API seguras permite la representación de datos nativos sin necesidad de iframes, eliminando de forma efectiva el vector de ataque principal mientras mantiene un modelo de privilegios mínimos para limitar el daño potencial de cualquier clic secuestrado accidentalmente.

            Consideraciones comerciales y de integración

            La implementación de la protección contra secuestro de clics requiere una auditoría integral de todos los portales externos y aplicaciones externas que enmarcan páginas de Salesforce para garantizar que están correctamente en la lista de admisión, ya que la configuración demasiado restrictiva puede interrumpir integraciones críticas para el negocio y flujos de trabajo de cara al cliente.

            Remediación recomendada

            Active la protección contra secuestro de clics en Configuración de sesión de Salesforce.

            Directrices de revisión del estado de seguridad

            Security Health Review inspecciona la configuración de sesión de la organización para verificar que la protección contra secuestro de clics está activada en alineación con las prácticas recomendadas.

            Consulte también:

             
            Cargando
            Salesforce Help | Article