Los ataques doubleclickjacking, que tomaron gran notoriedad a principios de 2025, se aprovechan de los dobles clics realizados para autorizar pagos, transferencias bancarias y otras acciones sensibles, explotando vulnerabilidades en los sitios web. ESET, compañía líder en detección proactiva de amenazas, analiza cómo se lleva a cabo este ataque, cuál es su objetivo y cómo es posible protegerse.
Este tipo de ataque necesita de dos clics para ser efectivo. Los ciberdelincuentes insertan un elemento malicioso entre el primer y segundo clic para desencadenar acciones no deseadas. Cuando la víctima realiza el primer clic, se superpone un elemento invisible que se activa con el segundo clic. Esto se logra mediante la técnica conocida como "iframe invisible", que coloca un botón oculto sobre el original para que el usuario interactúe sin notar el cambio.
“Los actores maliciosos no descansan en su búsqueda de nuevas formas de ataque, y el doubleclickjacking es una muestra de ello. Un ejemplo ocurre cuando una página legítima ofrece un test y, al hacer clic en 'Ver resultado', el sitio cambia la interfaz sin que el usuario lo perciba. En ese momento, bajo el cursor puede aparecer un botón oculto de 'Confirmar' en una página de inicio de sesión de una red social. Así, creyendo que continúa con el test, el usuario en realidad otorga acceso a un atacante”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Este tipo de ataque puede ejecutarse en sitios legítimos sin necesidad de redirigir a la víctima a un portal falso. Así, los ciberdelincuentes evitan las defensas tradicionales contra el clickjacking y logran ejecutar sus acciones en páginas que no cuentan con la protección adecuada.
Diferencias entre doubleclickjacking y clickjacking
El clickjacking es una técnica en la que un atacante superpone una página legítima con elementos invisibles, como botones o enlaces, para inducir a un usuario a hacer clic sin darse cuenta. Por ejemplo, un usuario podría creer que está dando "Me gusta" a una foto, cuando en realidad está autorizando una transacción financiera. Dado que es una técnica más simple, las medidas de seguridad actuales suelen detectarla y prevenirla con eficacia.
Por otro lado, el doubleclickjacking requiere dos clics para consumar el ataque: el primero prepara la trampa y el segundo la hace efectiva. Debido a su mayor complejidad, puede evadir algunas protecciones implementadas contra ataques de un solo clic.
Consecuencias del doubleclickjacking
Los efectos de este ataque pueden ser graves y derivar en:
-
Modificación de configuraciones sensibles de seguridad en cuentas.
-
Obtención de permisos API.
-
Autorización de pagos o transferencias sin el consentimiento del usuario.
-
Secuestro de cuentas en redes sociales o correos electrónicos.
-
Instalación de malware en el dispositivo.
-
Acceso no autorizado a la cámara, micrófono o ubicación del dispositivo.
-
Despliegue de ransomware y otras amenazas avanzadas.
Medidas preventivas
Para evitar ser víctima de este ataque, ESET recomienda:
-
Mantener actualizados los sistemas y navegadores: Como el doubleclickjacking aprovecha vulnerabilidades en sitios web, es posible que futuras actualizaciones corrijan estos fallos, evitando su explotación.
-
Estar alerta ante acciones inusuales en un sitio web: Botones que soliciten doble clic, captchas inesperados o ventanas emergentes pueden ser indicios de un intento de ataque.
-
Evitar hacer clic de inmediato en ventanas emergentes: Es fundamental prestar atención a los mensajes de confirmación antes de interactuar con cualquier elemento.
“En resumen, es crucial mantener los sistemas actualizados, estar atentos a comportamientos sospechosos en sitios web y conocer las nuevas tácticas empleadas por los ciberdelincuentes”, concluye Gutiérrez Amaya de ESET Latinoamérica.