ESET alerta sobre una nueva técnica de ataque cibernético denominada "doubleclickjacking",

que ha ganado relevancia a principios de 2025. Este método sofisticado explota la acción común de doble clic, utilizada para autorizar pagos o transferencias bancarias, aprovechándose de vulnerabilidades presentes incluso en páginas web legítimas. El objetivo principal de estos ataques es el robo de datos sensibles.

El doubleclickjacking se distingue del clickjacking tradicional por requerir dos clics para su ejecución. Los atacantes insertan un elemento malicioso entre el primer y el segundo clic del usuario, desencadenando así acciones no deseadas. Esta inserción se realiza mediante la técnica del "iframe invisible", que superpone un elemento oculto sobre un botón visible. De esta manera, la víctima interactúa con el elemento malicioso creyendo que está realizando una acción legítima en la página.

Camilo Gutiérrez Amaya de ESET Latinoamérica explica que los atacantes buscan constantemente nuevas formas de ataque, y el doubleclickjacking es un claro ejemplo. Ilustra esto con un escenario donde un usuario realiza un test en una página legítima y, al hacer clic en "Ver resultado", la interfaz cambia sutilmente gracias al iframe invisible. Sin que el usuario lo perciba, debajo del cursor podría haber un botón oculto de "Confirmar" de una página de inicio de sesión de una red social. Al realizar el segundo clic, creyendo que continúa con el test, en realidad estaría permitiendo el acceso de un atacante a su cuenta.

Una característica peligrosa del doubleclickjacking es su capacidad para operar en sitios web legítimos, eludiendo las defensas contra el clickjacking tradicional que se basan en la detección de superposiciones en sitios maliciosos. Al ocurrir la acción maliciosa en una página aparentemente segura, se dificulta su detección.

Mientras que el clickjacking engaña al usuario para que realice un solo clic involuntario en un elemento oculto (como dar un "Me gusta" que en realidad es una transferencia de dinero), el doubleclickjacking utiliza dos clics: el primero prepara la trampa y el segundo la activa. Esta complejidad adicional le permite evadir algunas protecciones de los navegadores.

Las consecuencias de un ataque de doubleclickjacking pueden ser graves, incluyendo el cambio de configuraciones de seguridad de cuentas, la obtención de permisos API, la autorización de pagos o transferencias bancarias sin consentimiento, e incluso la realización de compras no autorizadas. Además, los atacantes podrían lograr el acceso no autorizado a redes sociales y correos electrónicos, permitiendo el robo de cuentas, la difusión de malware o la solicitud de dinero a contactos. En casos más extremos, se podría instalar malware, activar permisos de acceso a dispositivos (cámara, micrófono, ubicación) o desplegar ransomware.

Para protegerse contra el doubleclickjacking, ESET recomienda mantener actualizados tanto los sistemas operativos como los navegadores, ya que las futuras actualizaciones podrían corregir las vulnerabilidades explotadas por esta técnica. También es crucial estar alerta ante cualquier comportamiento inusual en un sitio web, como botones que requieran doble clic, captchas inesperados o ventanas emergentes repentinas. Se aconseja prestar especial atención a los mensajes de confirmación y evitar hacer clic de forma automática en ventanas emergentes.

En resumen, la prevención efectiva contra el doubleclickjacking se basa en la actualización constante del software, la vigilancia ante comportamientos sospechosos en los sitios web y la conciencia sobre las nuevas tácticas de ataque empleadas por los ciberdelincuentes.

|*|: Imagen generada por Gemini