Doubleclickjacking: la amenaza de Doble Clic al descubierto |
Escrito por Redacción OyN |
Jueves, 03 de Abril de 2025 06:59 |
que ha ganado relevancia a principios de 2025. Este método sofisticado explota la acción común de doble clic, utilizada para autorizar pagos o transferencias bancarias, aprovechándose de vulnerabilidades presentes incluso en páginas web legítimas. El objetivo principal de estos ataques es el robo de datos sensibles. El doubleclickjacking se distingue del clickjacking tradicional por requerir dos clics para su ejecución. Los atacantes insertan un elemento malicioso entre el primer y el segundo clic del usuario, desencadenando así acciones no deseadas. Esta inserción se realiza mediante la técnica del "iframe invisible", que superpone un elemento oculto sobre un botón visible. De esta manera, la víctima interactúa con el elemento malicioso creyendo que está realizando una acción legítima en la página. Camilo Gutiérrez Amaya de ESET Latinoamérica explica que los atacantes buscan constantemente nuevas formas de ataque, y el doubleclickjacking es un claro ejemplo. Ilustra esto con un escenario donde un usuario realiza un test en una página legítima y, al hacer clic en "Ver resultado", la interfaz cambia sutilmente gracias al iframe invisible. Sin que el usuario lo perciba, debajo del cursor podría haber un botón oculto de "Confirmar" de una página de inicio de sesión de una red social. Al realizar el segundo clic, creyendo que continúa con el test, en realidad estaría permitiendo el acceso de un atacante a su cuenta. Una característica peligrosa del doubleclickjacking es su capacidad para operar en sitios web legítimos, eludiendo las defensas contra el clickjacking tradicional que se basan en la detección de superposiciones en sitios maliciosos. Al ocurrir la acción maliciosa en una página aparentemente segura, se dificulta su detección. Mientras que el clickjacking engaña al usuario para que realice un solo clic involuntario en un elemento oculto (como dar un "Me gusta" que en realidad es una transferencia de dinero), el doubleclickjacking utiliza dos clics: el primero prepara la trampa y el segundo la activa. Esta complejidad adicional le permite evadir algunas protecciones de los navegadores. Las consecuencias de un ataque de doubleclickjacking pueden ser graves, incluyendo el cambio de configuraciones de seguridad de cuentas, la obtención de permisos API, la autorización de pagos o transferencias bancarias sin consentimiento, e incluso la realización de compras no autorizadas. Además, los atacantes podrían lograr el acceso no autorizado a redes sociales y correos electrónicos, permitiendo el robo de cuentas, la difusión de malware o la solicitud de dinero a contactos. En casos más extremos, se podría instalar malware, activar permisos de acceso a dispositivos (cámara, micrófono, ubicación) o desplegar ransomware. Para protegerse contra el doubleclickjacking, ESET recomienda mantener actualizados tanto los sistemas operativos como los navegadores, ya que las futuras actualizaciones podrían corregir las vulnerabilidades explotadas por esta técnica. También es crucial estar alerta ante cualquier comportamiento inusual en un sitio web, como botones que requieran doble clic, captchas inesperados o ventanas emergentes repentinas. Se aconseja prestar especial atención a los mensajes de confirmación y evitar hacer clic de forma automática en ventanas emergentes. En resumen, la prevención efectiva contra el doubleclickjacking se basa en la actualización constante del software, la vigilancia ante comportamientos sospechosos en los sitios web y la conciencia sobre las nuevas tácticas de ataque empleadas por los ciberdelincuentes.
|*|: Imagen generada por Gemini |
La UCAB impulsa la Liga MovistarULa Universidad Católica Andrés Bello (UCAB), a través de su Dirección de Deportes, impulsa la Liga U Movistar en su Torneo Clausura 2025. |
Psicomapa: herramienta para encontrar servicios de salud mental en VenezuelaHace dos años, en 2023, la Escuela de Psicología UCAB publicó la primera edición de PsicoData, estudio que retrata los aspectos psicosociales del venezolano. |
Conferencia sobre la obra de F. Scott Fitzgerald en el CVAEl miércoles 28 de mayo de 2025, a las 5:00 p.m., la escritora venezolana Ana María Velázquez Anderson dictará una conferencia |
Phishing vs spam (y malspam): ¿Conoces las diferencias?En el mundo de la seguridad de la información conviven conceptos que si no se analizan en profundidad, pueden confundirse |
Kurios Education lidera el debut de Venezuela en la ISEFPor primera vez en la historia, Venezuela formó parte de la Feria Internacional de Ciencia e Ingeniería Regeneron (ISEF), celebrada en Greater Columbus Convention Center en Columbus, Ohio, Estados Uni... |
Guayana Esequiba: Defensa con criterios unánimes y bastión fortificadoDeseo comenzar, de manera expresa, con un enunciado que encierra suficiente sabiduría; me refiero al contenido aleccionador en estas palabras |
El nuevo PapaNo he terminado de despedir al Gran Papa Francisco, cuando ha llegado el sucesor de Pedro, el Papa León XIV. |
CordeliaNo creo que exista nadie en el mundo que haya conocido como yo a Cordelia, la hija del Rey Lear |
Retorno del proscrito general Páez a VenezuelaEn 1858, tras una década en el exilio, el general José Antonio Páez regresa a Venezuela por invitación del gobierno. Una ley de amnistía y un accidentado viaje marcan su último retorno a la patria |
Incomprendidos contratiempos¿Cualquier ley merece respeto? Es una pregunta que tiene múltiples lecturas. No sólo de naturaleza jurídica. |
Siganos en