'Doubleclickjacking', el nuevo ciberataque del que puede ser víctima: cómo evitarlo

El 'doubleclickjacking' es una modalidad de ciberataque que se aprovecha de los dobles clics realizados por los s para efectuar acciones como autorizaciones de pago o transferencias bancarias.

Cuando la víctima realiza el primer clic, se introduce un elemento malicioso que se activa en el segundo clic, permitiendo que se ejecuten acciones no deseadas como s indebidos o cambios de configuración.

Este ataque puede realizarse en sitios legítimos, sin necesidad de redirigir a la víctima a una página falsa, lo que dificulta su detección.

La compañía especializada en detección proactiva de amenazas, Eset, explica que este método se ejecuta mediante una técnica llamada iframe invisible. Este sistema coloca un elemento por encima de un botón visible, de modo que el interactúa sin notar que está activando otra función.

(Enseguida: El FBI advirtió que estas estafas virtuales marcaron un récord en EE. UU.: consejos para protegerse). 

El riesgo radica en que las acciones maliciosas se realizan sobre páginas legítimas, lo que permite evadir algunas medidas de protección contra el clickjacking tradicional.

“Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el 'doubleclickjacking' es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que al momento de hacer clic en 'Ver resultado' del test, el sitio cambia de manera instantánea la interfaz, sin que lo notes, gracias a la técnica de 'iframe invisible'. Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de 'Confirmar' en una página de inicio de sesión de una red social, entonces al hacer clic nuevamente creyendo que se continúa en el test, en realidad se estará confirmando el de un atacante a su cuenta”, señala Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de Eset Latinoamérica.

Una de las características más preocupantes de esta amenaza es que puede ejecutarse en sitios legítimos. Esto le permite a los atacantes evitar medidas tradicionales contra el ‘clickjacking’ y operar desde plataformas reales, pero sin la debida protección.

El ‘clickjacking’ clásico consiste en superponer un botón o enlace invisible sobre otro visible, de manera que el cree que está haciendo una acción inofensiva, cuando en realidad está ejecutando otra muy distinta. Es, por ejemplo, cuando un internauta cree estar dando ‘Me gusta’ a una publicación y en realidad autoriza una transacción bancaria. Este tipo de ataque ha sido abordado con medidas de seguridad más efectivas, lo que ha reducido su impacto.

(Enseguida: Mujer fingió haber quedado sordomuda durante 16 años para cobrar pensión de incapacidad). 

A diferencia del ‘clickjacking’, el ‘doubleclickjacking’ utiliza dos pasos: el primero para preparar el engaño y el segundo para llevarlo a cabo. Debido a esta complejidad adicional, puede evadir ciertos mecanismos de seguridad ya implementados por los navegadores.

Entre las consecuencias más graves de este tipo de ataques se encuentran cambios en configuraciones críticas de seguridad, obtención de permisos API, autorizaciones de pago no consentidas y hasta la realización de compras en línea sin que el titular lo advierta.

(Lea: Números telefónicos que no debe contestar ni responder mensajes, para evitar ser estafado).

En escenarios más extremos, el atacante podría aprobar el a redes sociales o cuentas de correo electrónico, perdiendo así el el control sobre ellas. Esto también puede derivar en el envío de mensajes fraudulentos a sus os o la propagación de software malicioso.

En caso de que el objetivo sea una plataforma de pagos, los atacantes pueden hacer transferencias bancarias o adquirir productos sin el conocimiento de la persona afectada. También existe el riesgo de que se instale malware, se activen permisos de cámara o micrófono, se rastree la ubicación del dispositivo o incluso se despliegue un ‘ransomware’.

Frente a estos riesgos, Eset sugiere algunas acciones clave para reducir la probabilidad de ser víctima de un ataque de ‘doubleclickjacking’. 

En primer lugar, es fundamental mantener siempre actualizados los sistemas operativos, navegadores y demás softwares utilizados, ya que estas técnicas dependen de vulnerabilidades que pueden ser corregidas por los desarrolladores mediante parches.

Además, se recomienda prestar atención a comportamientos inusuales dentro de las páginas web, como la solicitud de múltiples clics, la aparición repentina de ventanas emergentes o mensajes de confirmación sospechosos. Evitar dar clics inmediatos ante este tipo de señales puede ser decisivo para frustrar un intento de ataque.

"En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales", concluye Gutiérrez Amaya.

Portafolio.