Centroamérica, abril de 2025. – Los ataques doubleclickjacking, que tomaron gran notoriedad a principios de 2025, se valen de los dobles clics que se realizan para, por ejemplo, efectuar autorizaciones de pago o transferencias bancarias, y operan al explotar vulnerabilidades en las páginas que se visitan. ESET, compañía líder en detección proactiva de amenazas, analiza de cómo se lleva a cabo este ataque, cuál es su objetivo, y de qué manera es posible protegerse.
Este tipo de ataque necesita de dos clics para ser efectivo. Los actores maliciosos insertan un elemento malicioso entre el primer y segundo clic para así desencadenar acciones no deseadas por parte de la víctima. Cuando la víctima realiza el primer clic, se inserta otro elemento que se activa cuando se efectúa el segundo clic. Esto se logra mediante a la técnica llamada «iframe invisible», que superpone un elemento sobre el botón para que el usuario interactúe sin poder verlo ni darse cuenta del cambio.
“Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el doubleclickjacking es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que, al momento de hacer clic en «Ver resultado» del test, el sitio cambia de manera instantánea la interfaz, sin que lo notes, gracias a la técnica de “iframe invisible”. Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de «Confirmar» en una página de inicio de sesión de una red social. Entonces, al hacer clic nuevamente creyendo que se continua en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Este tipo de ataques puede realizarse en sitios legítimos, sin necesidad de llevar a la víctima a un sitio web falso. Así, el atacante logra evitar las defensas existentes contra el clickjacking, y realizar sus acciones maliciosas en páginas legítimas que no están protegidas debidamente.
Diferencias entre doubleclickjacking y clickjacking:
El clickjacking es una técnica en la que el ciberatacante superpone una página web legítima con elementos invisibles, como botones o enlaces, para engañar al usuario y hacer clic en algo sin darse cuenta. Este ataque busca que el usuario haga clic en algo puntual sin quererlo y su objetivo es que la víctima crea que está tocando un botón inofensivo, pero en realidad activa otra cosa escondida debajo. Mediante el clickjacking, por ejemplo, un usuario cree que está dando un «Me gusta» a una foto, pero podría estar realizando una transferencia de dinero. Al tratarse de una técnica más “sencilla”, las medidas de seguridad actuales suelen detectar y prevenir eficazmente los intentos de clickjacking.
Por su parte, el doubleclickjacking se vale de dos clics para consumar el ataque: el primero prepara la trampa, mientras que el segundo la hace efectiva. Y debido a que es una técnica más compleja, puede eludir algunas de las protecciones que los navegadores implementan en contra ataques de un solo clic.
Las consecuencias de un ataque de doubleclickjacking pueden derivar en el cambio de configuraciones sensibles de la seguridad de las cuentas, obtener permisos API, y en casos más extremos, la autorización de pagos o transferencias sin el consentimiento del usario.
Por un lado, el actor malicioso puede engañar para que se apruebe un inicio de sesión en alguna red social y correo electrónico. Esto puede derivar en que se pierda acceso a esa cuenta, ya que pueden cambiar la contraseña, o que la utilicen para enviar mensajes a los contactos para obtener dinero o distribuir malware.
Si el ataque apunta a plataformas de pago, los cibercriminales pueden autorizar compras en línea o realizar transferencias bancarias sin el consentimiento del titular.
Además, el ciberatacante también podría instalar malware en el dispositivo, activar permisos para que un programa le brinde acceso (por ejemplo, a la cámara, el micrófono o la ubicación) y hasta desplegar ransomware.
Medidas preventivas:
- Mantener actualizados tanto los equipos como los navegadores. El doubleclickjacking es una técnica relativamente nueva que se aprovecha de vulnerabilidades en los sitios, por lo cual es posible que futuras actualizaciones corrijan estos fallos, evitando así que puedan ser explotados por los cibercriminales.
- Estar alerta ante cualquier acción extraña que pueda suceder en un sitio web: botones que soliciten doble clic, captchas o ventanas emergentes. Es fundamental prestar atención a los mensajes de confirmación y evitar hacer clics inmediatos en las ventanas emergentes que se acaban de abrir.
“En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento inusual de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales”, concluye Gutiérrez Amaya de ESET Latinoamérica.