A inicios de 2025, los ataques de doubleclick jacking han cobrado notoriedad al explotar vulnerabilidades en sitios web, incluso en aquellos considerados seguros. Este tipo de ataque, analizado por ESET Latinoamérica, aprovecha los dobles clics de los usuarios para ejecutar acciones maliciosas sin su consentimiento.
¿Cómo funciona el double clickjacking?
Este ataque se basa en la inserción de un elemento malicioso entre el primer y segundo clic del usuario. A través de la técnica denominada “iframe invisible”, los atacantes superponen elementos sobre botones reales, de manera que el usuario interactúa con ellos sin notarlo. Un ejemplo de este ataque ocurre cuando un usuario hace clic en “Ver resultado” en una página de test, y sin darse cuenta, en el segundo clic confirma una acción como autorizar el acceso a una cuenta en redes sociales.
Diferencias entre doubleclick jacking y clickjacking
El clickjacking tradicional se basa en engañar al usuario para que haga clic en un botón oculto, mientras que el double clickjacking utiliza dos clics: el primero prepara la trampa y el segundo la ejecuta. Debido a su complejidad, esta nueva variante puede eludir algunas protecciones de navegadores diseñadas para prevenir ataques de un solo clic.
Consecuencias del double clickjacking
Los efectos de este ataque pueden ser graves, incluyendo:
- Cambios en configuraciones de seguridad de cuentas en redes sociales y correos electrónicos.
- Acceso indebido a permisos API.
- Autorización de compras y transferencias bancarias sin consentimiento.
- Instalación de malware y ransomware.
¿Cómo protegerse?
Se recomienda las siguientes medidas para mitigar el riesgo:
- Mantener actualizados los equipos y navegadores para corregir vulnerabilidades.
- Estar alerta ante acciones extrañas en sitios web, como botones que solicitan doble clic o ventanas emergentes inesperadas.
- Leer cuidadosamente los mensajes de confirmación antes de hacer clic.
“Es crucial mantenernos informados sobre estas nuevas amenazas y adoptar hábitos de seguridad para minimizar los riesgos en línea”, concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.