Doubleclickjacking: la amenaza de Doble Clic al descubierto |
Escrito por Redacción OyN |
Jueves, 03 de Abril de 2025 06:59 |
que ha ganado relevancia a principios de 2025. Este método sofisticado explota la acción común de doble clic, utilizada para autorizar pagos o transferencias bancarias, aprovechándose de vulnerabilidades presentes incluso en páginas web legítimas. El objetivo principal de estos ataques es el robo de datos sensibles. El doubleclickjacking se distingue del clickjacking tradicional por requerir dos clics para su ejecución. Los atacantes insertan un elemento malicioso entre el primer y el segundo clic del usuario, desencadenando así acciones no deseadas. Esta inserción se realiza mediante la técnica del "iframe invisible", que superpone un elemento oculto sobre un botón visible. De esta manera, la víctima interactúa con el elemento malicioso creyendo que está realizando una acción legítima en la página. Camilo Gutiérrez Amaya de ESET Latinoamérica explica que los atacantes buscan constantemente nuevas formas de ataque, y el doubleclickjacking es un claro ejemplo. Ilustra esto con un escenario donde un usuario realiza un test en una página legítima y, al hacer clic en "Ver resultado", la interfaz cambia sutilmente gracias al iframe invisible. Sin que el usuario lo perciba, debajo del cursor podría haber un botón oculto de "Confirmar" de una página de inicio de sesión de una red social. Al realizar el segundo clic, creyendo que continúa con el test, en realidad estaría permitiendo el acceso de un atacante a su cuenta. Una característica peligrosa del doubleclickjacking es su capacidad para operar en sitios web legítimos, eludiendo las defensas contra el clickjacking tradicional que se basan en la detección de superposiciones en sitios maliciosos. Al ocurrir la acción maliciosa en una página aparentemente segura, se dificulta su detección. Mientras que el clickjacking engaña al usuario para que realice un solo clic involuntario en un elemento oculto (como dar un "Me gusta" que en realidad es una transferencia de dinero), el doubleclickjacking utiliza dos clics: el primero prepara la trampa y el segundo la activa. Esta complejidad adicional le permite evadir algunas protecciones de los navegadores. Las consecuencias de un ataque de doubleclickjacking pueden ser graves, incluyendo el cambio de configuraciones de seguridad de cuentas, la obtención de permisos API, la autorización de pagos o transferencias bancarias sin consentimiento, e incluso la realización de compras no autorizadas. Además, los atacantes podrían lograr el acceso no autorizado a redes sociales y correos electrónicos, permitiendo el robo de cuentas, la difusión de malware o la solicitud de dinero a contactos. En casos más extremos, se podría instalar malware, activar permisos de acceso a dispositivos (cámara, micrófono, ubicación) o desplegar ransomware. Para protegerse contra el doubleclickjacking, ESET recomienda mantener actualizados tanto los sistemas operativos como los navegadores, ya que las futuras actualizaciones podrían corregir las vulnerabilidades explotadas por esta técnica. También es crucial estar alerta ante cualquier comportamiento inusual en un sitio web, como botones que requieran doble clic, captchas inesperados o ventanas emergentes repentinas. Se aconseja prestar especial atención a los mensajes de confirmación y evitar hacer clic de forma automática en ventanas emergentes. En resumen, la prevención efectiva contra el doubleclickjacking se basa en la actualización constante del software, la vigilancia ante comportamientos sospechosos en los sitios web y la conciencia sobre las nuevas tácticas de ataque empleadas por los ciberdelincuentes.
|*|: Imagen generada por Gemini |
Empire Keeway hizo el testdrive más grande de VenezuelaEK, Empire Keeway organizó el test drive más grande del país con las motos que aman los apasionados de dos ruedas: el EK Day, |
Boleto aéreo y US$1.000 para quienes se autodeporten de EE.UU.Hoy, el Departamento de Seguridad Nacional (DHS) anunció una oportunidad histórica para que los extranjeros ilegales reciban asistencia financiera |
Microcréditos a emprendedores de El HatilloEn alianza con la Alcaldía de El Hatillo, BNC realizó una entrega de microcréditos a un grupo de 19 emprendedores del municipio, |
Pharmetique Labs lanza BDRON 500 mg en VenezuelaInvestigaciones han demostrado que el acetato de Abiraterona es tan eficaz terapéuticamente como otros medicamentos de referencia para el tratamiento adecuado de ciertas enfermedades. |
Cantv impulsa la enseñanza científica en AnzoáteguiCantv garantiza la conectividad en el Centro Didáctico para la Enseñanza de la Ciencia, ubicado en la Biblioteca Pública Central Julián Temístocles Maza de Barcelona, estado Anzoátegui. |
Victoria Soviética en Plaza VenezuelaEn mi adolescencia, cuando la pasión sobre el estudio de la Segunda Guerra Mundial se hizo sistemática, la escena de la toma del Reichstag en la Batalla de Berlín |
Netanyahu, el placer por destruirBenjamín Netanyahu y la ultraderecha agresiva y militarista a la que lidera con devoción fanática, insisten en señalar |
El modelo de éxito de Alemania: Economía Social de MercadoTras la devastación de la Segunda Guerra Mundial, Alemania emergió como un ejemplo de reconstrucción y prosperidad económica. |
Luis HerreraEs el Centenario del nacimiento de Luis Herrera Campíns. |
La Pequeña VeneZia un camino a un paisaje de cardonales“El paisaje es el lenguaje plástico y musical de la naturaleza. Su existencia depende del poder creador del artista. |
Siganos en