Un nuevo método de ataque cibernético está ganando notoriedad en 2025: el doubleclickjacking.
Esta técnica aprovecha los dobles clics que los usuarios realizan al autorizar pagos o acceder a servicios en línea para ejecutar acciones sin su consentimiento.
A diferencia del clickjacking tradicional, este ataque introduce un elemento malicioso entre el primer y segundo clic, utilizando un ‘iframe invisible’ para ocultar la verdadera interacción del usuario.
Cómo opera el doubleclickjacking
Cuando la víctima realiza el primer clic en una página legítima, el atacante introduce un nuevo elemento sobre la interfaz sin que sea visible. Luego, en el segundo clic, la víctima activa accidentalmente la acción maliciosa, que puede ser desde conceder permisos de acceso hasta autorizar una transacción financiera.
Este ataque es especialmente peligroso porque no requiere que el usuario visite un sitio falso. Puede ejecutarse en páginas legítimas que no cuentan con las protecciones adecuadas contra el clickjacking.
Diferencias entre clickjacking y doubleclickjacking
- Clickjacking: Manipula un solo clic para engañar al usuario y hacer que active una acción oculta.
- Doubleclickjacking: Se basa en dos clics, lo que le permite evadir algunas protecciones de los navegadores y realizar acciones más complejas, como modificar configuraciones de seguridad o autorizar pagos sin consentimiento.
Consecuencias y riesgos
Este ataque puede derivar en:
- Pérdida de acceso a cuentas: Un clic inadvertido puede aprobar el inicio de sesión de un atacante en redes sociales o correos electrónicos, permitiéndole cambiar contraseñas o enviar mensajes maliciosos.
- Transacciones no autorizadas: Puede utilizarse para aprobar compras en línea o transferencias bancarias sin que el usuario lo note.
- Instalación de malware: En algunos casos, puede habilitar permisos para que el atacante controle el dispositivo, accediendo a la cámara, el micrófono o incluso desplegando ransomware.
Cómo protegerse
Para reducir el riesgo de ser víctima de doubleclickjacking, se recomienda:
- Mantener navegadores y dispositivos actualizados: Las nuevas versiones pueden corregir vulnerabilidades explotadas por este ataque.
- Prestar atención a las interacciones en sitios web: Evitar dar clics inmediatos en botones sospechosos, captchas o ventanas emergentes inesperadas.
- Revisar mensajes de confirmación: Leer con atención antes de aceptar cualquier solicitud de permisos o transacción.
Este tipo de ataques demuestra la evolución constante de las amenazas cibernéticas, por lo que la precaución y la actualización de medidas de seguridad son clave para protegerse.
Fuente: ESET
