Los ataques doubleclickjacking, que tomaron gran notoriedad a principios de 2025, se valen de los dobles clics que se realizan para, por ejemplo, efectuar autorizaciones de pago o transferencias bancarias, y operan al explotar vulnerabilidades en las páginas que se visitan. En este contexto, ESET analiza de cómo se lleva a cabo este ataque, cuál es su objetivo, y de qué manera es posible protegerse.
Este tipo de ataque necesita de dos clics para ser efectivo. Los actores maliciosos insertan un elemento malicioso entre el primer y segundo clic para así desencadenar acciones no deseadas por parte de la víctima. Cuando la víctima realiza el primer clic, se inserta otro elemento que se activa cuando se efectúa el segundo clic. Esto mediante a la técnica llamada «iframe invisible», que superpone un elemento sobre el botón para que el usuario interactúe sin poder verlo, ni darse cuenta del cambio.
“Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el doubleclickjacking es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que al momento de hacer clic en «Ver resultado» del test, el sitio cambia de manera instantánea la interfaz gracias a la técnica de “iframe invisible”. Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de «Confirmar» en una página de inicio de sesión de una red social, entonces al haces clic nuevamente creyendo que se continua en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Diferencias entre doubleclickjacking y clickjacking
El clickjacking es una técnica en la que el ciberatacante superpone una página web legítima con elementos invisibles, pueden ser botones y/o enlaces, para engañar al usuario y que haga clic en algo sin darse cuenta. Este tipo de ataque busca que el usuario haga clic en algo puntual sin quererlo y su objetivo es que la víctima crea que está tocando un botón inofensivo, pero en realidad activa otra cosa escondida debajo. Mediante el clickjacking, por ejemplo, un usuario cree que está dando un «Me gusta» a una foto, pero podría estar realizando una transferencia de dinero.
Por su parte, el doubleclickjacking se vale de dos clics para consumar el ataque: el primero prepara la trampa, mientras que el segundo la hace efectiva. Debido a que es una técnica más compleja, puede eludir algunas de las protecciones que los navegadores implementan en contra ataques de un solo clic.
Las consecuencias de un ataque de doubleclickjacking pueden derivar en el cambio de configuraciones sensibles de la seguridad de las cuentas, obtener permisos API, y en casos más extremos, obtener autorizaciones de pago y/o transferencias o comprar cosas a nombre del usuario sin que lo sepa.
Adicionalmente, el ciberatacante también podría instalar malware en el dispositivo, activar permisos para que un programa le brinde acceso (por ejemplo, a la cámara, el micrófono o la ubicación) y hasta desplegar ransomware.
Recomendaciones
- Mantener actualizados tanto los equipos como los navegadores: el doubleclickjacking es una técnica relativamente nueva que se aprovecha de vulnerabilidades en los sitios, por lo cual es posible que futuras actualizaciones corrijan estos fallos, evitando así que puedan ser explotados por los cibercriminales.
- Estar alerta ante cualquier acción extraña que pueda suceder en un sitio web: botones que soliciten doble clic, captchas o ventanas emergentes. Y en consecuencia, prestar mucha atención a los mensajes de confirmación, y evitar dar clics inmediatos en las ventanas emergentes que se acaban de abrir.
“En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales”, concluye Gutiérrez Amaya.
