Los ataques doubleclickjacking, que tomaron gran notoriedad a principios de 2025, se valen de los dobles clics que se realizan para, por ejemplo, efectuar autorizaciones de pago o transferencias bancarias, y operan al explotar vulnerabilidades en las páginas que se visitan. ESET analiza de cómo se lleva a cabo este ataque, cuál es su objetivo, y de qué manera es posible protegerse.
Este tipo de ataque necesita de dos clics para ser efectivo. Los actores maliciosos insertan un elemento malicioso entre el primer y segundo clic para así desencadenar acciones no deseadas por parte de la víctima. Cuando la víctima realiza el primer clic, se inserta otro elemento que se activa cuando se efectúa el segundo clic. Esto mediante a la técnica llamada «iframe invisible», que superpone un elemento sobre el botón para que el usuario interactúe sin poder verlo, ni darse cuenta del cambio.
“Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el doubleclickjacking es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que al momento de hacer clic en «Ver resultado» del test, el sitio cambia de manera instantánea la interfaz, sin que lo notes, gracias a la técnica de “iframe invisible”. Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de «Confirmar» en una página de inicio de sesión de una red social, entonces al haces clic nuevamente creyendo que se continua en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Este tipo de ataques puede realizarse perfectamente en sitios legítimos, sin la necesidad de llevar a la víctima a un sitio web falso. Así, el atacante logra evitar las defensas que existen actualmente contra el clickjacking, y sus acciones con fines maliciosos ocurren en páginas legítimas, pero que no están protegidas debidamente.
Diferencias entre doubleclickjacking y clickjacking:
El clickjacking es una técnica en la que el ciberatacante superpone una página web legítima con elementos invisibles, pueden ser botones y/o enlaces, para engañar al usuario y que haga clic en algo sin darse cuenta. Este ataque busca que el usuario haga clic en algo puntual sin quererlo y su objetivo es que la víctima crea que está tocando un botón inofensivo, pero en realidad activa otra cosa escondida debajo. Mediante el clickjacking, por ejemplo, un usuario cree que está dando un «Me gusta» a una foto, pero podría estar realizando una transferencia de dinero. Al tratarse de una técnica más “sencilla”, las medidas de seguridad actuales suelen detectar y prevenir eficazmente los intentos de clickjacking.
Por su parte, el doubleclickjacking se vale de dos clics para consumar el ataque: el primero prepara la trampa, mientras que el segundo la hace efectiva. Y debido a que es una técnica más compleja, puede eludir algunas de las protecciones que los navegadores implementan en contra ataques de un solo clic.
Las consecuencias de un ataque de doubleclickjacking pueden derivar en el cambio de configuraciones sensibles de la seguridad de las cuentas, obtener permisos API, y en casos más extremos, obtener autorizaciones de pago y/o transferencias, o comprar cosas a nombre del usuario sin que lo sepa.
Por un lado, el actor malicioso puede engañar para que se apruebe un inicio de sesión en alguna red social y correo electrónico. Esto puede derivar en que se pierda acceso a esa cuenta, ya que pueden cambiar la contraseña, o que la utilicen para enviar mensajes a los contactos para obtener dinero o distribuir malware.
En el caso de que el ataque apunte a plataformas de pago, pueden autorizar compras en línea sin el consentimiento del titular como también transferencias bancarias.
Adicionalmente, el ciberatacante también podría instalar malware en el dispositivo, activar permisos para que un programa le brinde acceso (por ejemplo, a la cámara, el micrófono o la ubicación) y hasta desplegar ransomware.
En cuanto a las medidas preventivas que pueden tomarse para reducir sensiblemente el riesgo de ser víctima de este tipo de ataque, desde ESET recomiendan:
- Mantener actualizados tanto los equipos como los navegadores. El doubleclickjacking es una técnica relativamente nueva que se aprovecha de vulnerabilidades en los sitios, por lo cual es posible que futuras actualizaciones corrijan estos fallos, evitando así que puedan ser explotados por los cibercriminales.
- Estar alerta ante cualquier acción extraña que pueda suceder en un sitio web: botones que soliciten doble clic, captchas o ventanas emergentes. Y en consecuencia, prestar mucha atención a los mensajes de confirmación, y evitar dar clics inmediatos en las ventanas emergentes que se acaban de abrir.
“En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales.”, concluye Gutiérrez Amaya de ESET Latinoamérica.
