Doubleclickjacking: la amenaza de Doble Clic al descubierto |
Escrito por Redacción OyN |
Jueves, 03 de Abril de 2025 06:59 |
que ha ganado relevancia a principios de 2025. Este método sofisticado explota la acción común de doble clic, utilizada para autorizar pagos o transferencias bancarias, aprovechándose de vulnerabilidades presentes incluso en páginas web legítimas. El objetivo principal de estos ataques es el robo de datos sensibles. El doubleclickjacking se distingue del clickjacking tradicional por requerir dos clics para su ejecución. Los atacantes insertan un elemento malicioso entre el primer y el segundo clic del usuario, desencadenando así acciones no deseadas. Esta inserción se realiza mediante la técnica del "iframe invisible", que superpone un elemento oculto sobre un botón visible. De esta manera, la víctima interactúa con el elemento malicioso creyendo que está realizando una acción legítima en la página. Camilo Gutiérrez Amaya de ESET Latinoamérica explica que los atacantes buscan constantemente nuevas formas de ataque, y el doubleclickjacking es un claro ejemplo. Ilustra esto con un escenario donde un usuario realiza un test en una página legítima y, al hacer clic en "Ver resultado", la interfaz cambia sutilmente gracias al iframe invisible. Sin que el usuario lo perciba, debajo del cursor podría haber un botón oculto de "Confirmar" de una página de inicio de sesión de una red social. Al realizar el segundo clic, creyendo que continúa con el test, en realidad estaría permitiendo el acceso de un atacante a su cuenta. Una característica peligrosa del doubleclickjacking es su capacidad para operar en sitios web legítimos, eludiendo las defensas contra el clickjacking tradicional que se basan en la detección de superposiciones en sitios maliciosos. Al ocurrir la acción maliciosa en una página aparentemente segura, se dificulta su detección. Mientras que el clickjacking engaña al usuario para que realice un solo clic involuntario en un elemento oculto (como dar un "Me gusta" que en realidad es una transferencia de dinero), el doubleclickjacking utiliza dos clics: el primero prepara la trampa y el segundo la activa. Esta complejidad adicional le permite evadir algunas protecciones de los navegadores. Las consecuencias de un ataque de doubleclickjacking pueden ser graves, incluyendo el cambio de configuraciones de seguridad de cuentas, la obtención de permisos API, la autorización de pagos o transferencias bancarias sin consentimiento, e incluso la realización de compras no autorizadas. Además, los atacantes podrían lograr el acceso no autorizado a redes sociales y correos electrónicos, permitiendo el robo de cuentas, la difusión de malware o la solicitud de dinero a contactos. En casos más extremos, se podría instalar malware, activar permisos de acceso a dispositivos (cámara, micrófono, ubicación) o desplegar ransomware. Para protegerse contra el doubleclickjacking, ESET recomienda mantener actualizados tanto los sistemas operativos como los navegadores, ya que las futuras actualizaciones podrían corregir las vulnerabilidades explotadas por esta técnica. También es crucial estar alerta ante cualquier comportamiento inusual en un sitio web, como botones que requieran doble clic, captchas inesperados o ventanas emergentes repentinas. Se aconseja prestar especial atención a los mensajes de confirmación y evitar hacer clic de forma automática en ventanas emergentes. En resumen, la prevención efectiva contra el doubleclickjacking se basa en la actualización constante del software, la vigilancia ante comportamientos sospechosos en los sitios web y la conciencia sobre las nuevas tácticas de ataque empleadas por los ciberdelincuentes.
|*|: Imagen generada por Gemini |
Declaración de la Organización de Recursos Numéricos sobre las Elecciones de AFRINICLa NRO reafirma su firme compromiso con los procesos de gobernanza abiertos, transparentes y de alta integridad, |
QJMOTOR de EK gana competencias internacionales en Italia y ChinaQJMOTOR, marca de motocicletas que está en Venezuela a través de EK, Empire Keeway, se llevó sendas victorias en la subdivisión Challenge del SSP |
El Hatillo se solidariza con los estados andinosAnte la situación de emergencia en tema de lluvias y deslizamientos en la región noroeste de Venezuela, |
Movistar otorga recarga adicional de un mes de renta a los habitantes de MéridaComo muestra de solidaridad por la delicada situación que atraviesan habitantes de Mérida, afectados por las intensas lluvias de las últimas horas, |
Vive El Sistema Fest: tres joyas musicales nacen en VenezuelaEl Sistema ha lanzado tres nuevos discos en el marco de la Primera Sinfonía de Vive El Sistema Fest. |
La Parranda de San Pedro: ¿De Guatire o de Guarenas?A estas alturas, cuando por más de doscientos años ya hemos recorrido un largo trecho, hay cultores que se mantienen sumergidos |
El ejercicio político y social del respetoA lo largo de la historia, el hombre no ha dejado de valerse de la astucia para actuar en beneficio de sus intereses. |
DecropolíticaEn algunos medios franceses se está empezando a usar esta palabra: (dé-kro-po-li-tik) para significar un fenómeno social conductual, cada vez más generalizado. |
Juana Andrea, la esposa del Negro Primero: una historia sin tumba ni medallasCuando la pólvora se disipó en Carabobo y la libertad comenzó a nombrarse con solemnidad en los documentos oficiales, |
Irán e Israel: ¿paz duradera?En el recién finalizado conflicto entre Irán, Israel y Estados Unidos — Donald Trump lo ha llamado pomposamente La guerra de los 12 días, en clara referencia a la Guerra de los 6 días, de 1967—, |
Siganos en