Doubleclickjacking: la amenaza de Doble Clic al descubierto |
Escrito por Redacción OyN |
Jueves, 03 de Abril de 2025 06:59 |
que ha ganado relevancia a principios de 2025. Este método sofisticado explota la acción común de doble clic, utilizada para autorizar pagos o transferencias bancarias, aprovechándose de vulnerabilidades presentes incluso en páginas web legítimas. El objetivo principal de estos ataques es el robo de datos sensibles. El doubleclickjacking se distingue del clickjacking tradicional por requerir dos clics para su ejecución. Los atacantes insertan un elemento malicioso entre el primer y el segundo clic del usuario, desencadenando así acciones no deseadas. Esta inserción se realiza mediante la técnica del "iframe invisible", que superpone un elemento oculto sobre un botón visible. De esta manera, la víctima interactúa con el elemento malicioso creyendo que está realizando una acción legítima en la página. Camilo Gutiérrez Amaya de ESET Latinoamérica explica que los atacantes buscan constantemente nuevas formas de ataque, y el doubleclickjacking es un claro ejemplo. Ilustra esto con un escenario donde un usuario realiza un test en una página legítima y, al hacer clic en "Ver resultado", la interfaz cambia sutilmente gracias al iframe invisible. Sin que el usuario lo perciba, debajo del cursor podría haber un botón oculto de "Confirmar" de una página de inicio de sesión de una red social. Al realizar el segundo clic, creyendo que continúa con el test, en realidad estaría permitiendo el acceso de un atacante a su cuenta. Una característica peligrosa del doubleclickjacking es su capacidad para operar en sitios web legítimos, eludiendo las defensas contra el clickjacking tradicional que se basan en la detección de superposiciones en sitios maliciosos. Al ocurrir la acción maliciosa en una página aparentemente segura, se dificulta su detección. Mientras que el clickjacking engaña al usuario para que realice un solo clic involuntario en un elemento oculto (como dar un "Me gusta" que en realidad es una transferencia de dinero), el doubleclickjacking utiliza dos clics: el primero prepara la trampa y el segundo la activa. Esta complejidad adicional le permite evadir algunas protecciones de los navegadores. Las consecuencias de un ataque de doubleclickjacking pueden ser graves, incluyendo el cambio de configuraciones de seguridad de cuentas, la obtención de permisos API, la autorización de pagos o transferencias bancarias sin consentimiento, e incluso la realización de compras no autorizadas. Además, los atacantes podrían lograr el acceso no autorizado a redes sociales y correos electrónicos, permitiendo el robo de cuentas, la difusión de malware o la solicitud de dinero a contactos. En casos más extremos, se podría instalar malware, activar permisos de acceso a dispositivos (cámara, micrófono, ubicación) o desplegar ransomware. Para protegerse contra el doubleclickjacking, ESET recomienda mantener actualizados tanto los sistemas operativos como los navegadores, ya que las futuras actualizaciones podrían corregir las vulnerabilidades explotadas por esta técnica. También es crucial estar alerta ante cualquier comportamiento inusual en un sitio web, como botones que requieran doble clic, captchas inesperados o ventanas emergentes repentinas. Se aconseja prestar especial atención a los mensajes de confirmación y evitar hacer clic de forma automática en ventanas emergentes. En resumen, la prevención efectiva contra el doubleclickjacking se basa en la actualización constante del software, la vigilancia ante comportamientos sospechosos en los sitios web y la conciencia sobre las nuevas tácticas de ataque empleadas por los ciberdelincuentes.
|*|: Imagen generada por Gemini |
"Conexión Digital", la nueva app de BancaribeBancaribe presenta su nueva aplicación móvil, «Conexión Digital», con una experiencia más simple, rápida y repleta de funcionalidades que empoderan a sus usuarios. |
Digitel informa que no solicita códigos de autorización a sus usuariosDigitel, en su firme compromiso con la seguridad y protección de la información de sus clientes, reitera que bajo ninguna circunstancia solicita códigos de autorización o verificación |
Segunda temporada de “Viajeros del alma” en SunchannelEl canal de televisión Sunchannel vuelve a apostar por el turismo venezolano, como una propuesta de entretenimiento y atracción |
Experience Day ASUG Venezuela 2025La Asociación de Usuarios SAP (ASUG) Venezuela, en alianza estratégica con NCG Network Consulting, se prepara para celebrar el Experience Day ASUG Venezuela 2025, |
Academia BT&C UCAB llama a participar en “Piensa bitcoin 2025”Investigaciones, ensayos, casos de estudio y cualquier otro aporte académico que analice el impacto de bitcoin |
¿Está débil el régimen?El primer paso para comprender lo que está ocurriendo en Venezuela en no autoengañarse, jamás debemos desprendernos de la realidad, |
Amigos de la posverdad: parenSi bien hay consenso en que posverdad y mentira no son lo mismo, habría que admitir que ambas cuñas se enlazan en un tronco común. |
Educación en Venezuela: Herencia, quiebre y desafíoVenezuela, como proyecto de país, ha tenido en la educación uno de sus pilares fundamentales. |
DemocratismoDemocratismo, cuando la Democracia se asume como una ideología. |
De la guerra y un obvio contrasteConsabido, Estados Unidos militarmente ganó la guerra que políticamente perdió con Vietnam. |
Siganos en