Los actores maliciosos nunca cesan en su búsqueda de nuevas formas de atacar a sus víctimas, y el doubleclickjacking es un claro ejemplo de esto.
Este tipo de ataque, que ganó notoriedad a principios de 2025, se aprovecha de los dobles clics que realizas para, por ejemplo, autorizar pagos o transferencias bancarias en tu nombre. ¿Cómo lo logran exactamente? Aprovechando vulnerabilidades en las páginas que visitas, las cuales pueden ser completamente legítimas.
A continuación, exploraremos cómo se lleva a cabo el doubleclickjacking, cuál es su objetivo y cómo puedes protegerte.
¿Cómo opera el doubleclickjacking?
Este tipo de ataque requiere dos clics para tener éxito. Los actores maliciosos colocan un elemento dañino entre el primer y segundo clic, lo que provoca acciones no deseadas por parte de la víctima.
Cuando la víctima hace el primer clic, se añade otro elemento que se activa con el segundo clic. Esto se logra a través de la técnica conocida como «iframe invisible», que coloca un elemento sobre el botón, permitiendo que el usuario interactúe sin poder verlo (ni darse cuenta).
Veamos un ejemplo claro: imagina que estás en una página legítima que ofrece realizar un test. En un ataque de doubleclickjacking, al hacer clic en «Ver resultado» del test, la interfaz del sitio cambia de inmediato sin que te des cuenta. Esto ocurre gracias a la técnica de “iframe invisible” que mencionamos anteriormente.
En ese lugar, y sin que te des cuenta, podría haber un botón oculto de «Confirmar» debajo del cursor en una página de inicio de sesión de una red social. Por lo tanto, si vuelves a hacer clic pensando que sigues en el test, en realidad estarás permitiendo que un atacante acceda a tu cuenta.
Aquí hay un pequeño (pero importante) detalle: este tipo de ataques puede llevarse a cabo en sitios legítimos, sin necesidad de redirigir a la víctima a una página web falsa. De esta manera, el atacante elude las defensas que actualmente existen contra el clickjacking, y sus acciones maliciosas se realizan en páginas auténticas que no cuentan con la protección adecuada.
Diferencias entre doubleclickjacking y clickjacking.
El doubleclickjacking puede considerarse una evolución del clickjacking. ¿En qué consiste el clickjacking? Es una técnica donde el ciberatacante superpone una página web legítima con elementos invisibles, como botones o enlaces, para engañar al usuario y hacer que haga clic sin darse cuenta. Para explicarlo mejor, con el clickjacking, el usuario puede pensar que está dando «Me gusta» a una foto, pero en realidad podría estar realizando una transferencia de dinero.
En conclusión, el clickjacking es un tipo de ataque que intenta que el usuario haga clic en un elemento específico sin darse cuenta. Su propósito es que la víctima crea que está presionando un botón inocuo, cuando en realidad está activando algo oculto detrás. Sin embargo, debido a que se trata de una técnica relativamente «sencilla», las medidas de seguridad actuales son capaces de detectar y prevenir de manera efectiva los intentos de clickjacking.
Por otro lado, el doubleclickjacking utiliza dos clics para llevar a cabo el ataque: el primero establece la trampa y el segundo la activa. Debido a que esta técnica es más sofisticada, tiene la capacidad de evadir algunas de las defensas que los navegadores implementan contra los ataques de un solo clic.
¿Cuáles podrían ser las repercusiones de un ataque de doubleclickjacking?
Ahora bien, lo más relevante: ¿cuáles son las posibles consecuencias de un ataque de doubleclickjacking? A continuación, exploraremos diversas situaciones.
Los atacantes maliciosos pueden alterar configuraciones críticas de seguridad en tus cuentas, así como obtener permisos de API. En casos más severos, podrían conseguir autorizaciones de pago y/o transferencias, o realizar compras en tu nombre. A continuación, presentaremos algunos ejemplos específicos.
En primer lugar, mediante un ataque de doubleclickjacking, el atacante puede engañarte para que apruebes el acceso a alguna de tus redes sociales o correos electrónicos. Esto puede resultar en la pérdida de acceso a tu cuenta (ya que podrían cambiar la contraseña) o en el uso de tu cuenta para enviar mensajes a tus contactos en busca de dinero o para propagar malware.
Si el ataque se dirige a plataformas de pago, podría llevarte a autorizar compras en línea sin tu consentimiento, así como transferencias bancarias.
Además, el ciberatacante podría aprovechar la situación para instalar malware en tu dispositivo, habilitar permisos que le permitan acceder a programas (por ejemplo, la cámara, el micrófono o la ubicación) e incluso desplegar ransomware.
¿Cómo resguardarse de un ataque de doubleclickjacking?
Como en cualquier situación de riesgo, siempre hay medidas preventivas que se pueden adoptar para reducir significativamente la posibilidad de ser víctima de un ataque.
En el caso específico del doubleclickjacking, un primer paso crucial para la prevención es mantener actualizados tanto los dispositivos como los navegadores. Como mencionamos anteriormente, el doubleclickjacking es una técnica relativamente nueva que explota vulnerabilidades en los sitios web, por lo que las actualizaciones futuras pueden corregir estos fallos, evitando que sean utilizados por cibercriminales.
Asimismo, es fundamental estar atentos a cualquier actividad inusual que ocurra en un sitio web, como botones que requieren doble clic, captchas o ventanas emergentes. Por lo tanto, es recomendable prestar especial atención a los mensajes de confirmación y evitar hacer clic de inmediato en las ventanas emergentes recién abiertas.
En resumen, es esencial mantener los dispositivos y software actualizados, estar alerta ante cualquier comportamiento extraño de un sitio web y mantenerse informado sobre las nuevas técnicas y métodos de ataque utilizados por los cibercriminales.
