Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas: el doubleclickjacking es una clara muestra de ello.
Este tipo de ataque, que tomó gran notoriedad a principios de 2025, se vale de los dobles clics que realizas para, por ejemplo, efectuar autorizaciones de pago o transferencias bancarias en tu nombre. ¿Cómo lo logra concretamente? Explotando vulnerabilidades en las páginas que visitas, las cuales perfectamente pueden ser legítimas.
A continuación, analizaremos de qué manera se lleva a cabo el doubleclickjacking, cuál es su objetivo, y de qué manera puedes protegerte.
¿Cómo funciona el doubleclickjacking?
Este tipo de ataque necesita de dos clics para ser efectivo. Los actores maliciosos insertan un elemento malicioso entre el primer y segundo clic para así desencadenar acciones no deseadas por parte de la víctima.
Cuando la víctima realiza el primer clic, se inserta otro elemento que se activa cuando se efectúa el segundo clic. Esto mediante a la técnica llamada "iframe invisible", que superpone un elemento sobre el botón para que el usuario interactúe sin poder verlo (ni saberlo).
Veamos un ejemplo concreto: imagínate que te encuentras en una página legítima que propone realizar algún tipo de test. En un ataque de doubleclickjacking, cuando haces clic en "Ver resultado" del test, el sitio cambia de manera instantánea la interfaz, sin que lo notes. Esto, gracias a la técnica de “iframe invisible” que mencionamos anteriormente.
Allí, y sin que lo sepas, debajo del cursor puede haber un botón oculto de "Confirmar" en una página de inicio de sesión de una red social. Entonces, si haces clic nuevamente creyendo que continuas en el test, en realidad estarás confirmando el acceso de un atacante a tu cuenta.
Aquí un pequeño (gran) detalle, y es que este tipo de ataques puede realizarse perfectamente en sitios legítimos, sin la necesidad de llevar a la víctima a un sitio web falsa. Así, el atacante logra evitar las defensas que existen actualmente contra el clickjacking, y sus acciones con fines maliciosos ocurren en páginas legítimas, pero que no están protegidas debidamente.
Diferencias entre doubleclickjacking y clickjacking
El doubleclickjacking puede tomarse como una evolución del clickjacking. ¿De qué se trata el clickjacking? Es una técnica en la que el ciberatacante superpone una página web legítima con elementos invisibles (pueden ser botones y/o enlaces) para engañar al usuario y que haga clic en algo sin darse cuenta. Para ser más claros, mediante el clickjacking el usuario cree que está dando un "Me gusta" a una foto, pero podría estar realizando una transferencia de dinero.
En resumen, podemos decir que clickjacking es un ataque que busca que el usuario haga clic en algo puntual sin quererlo y su objetivo es que la víctima crea que está tocando un botón inofensivo, pero en realidad activa otra cosa escondida debajo. Pero claro: dado que se trata de una técnica más “sencilla”, las medidas de seguridad modernas suelen detectar y prevenir eficazmente los intentos de clickjacking.
Por su parte, el doubleclickjacking se vale de dos clics para consumar el ataque: el primero prepara la trampa, mientras que el segundo la hace efectiva. Y debido a que es una técnica más compleja, puede eludir algunas de las protecciones que los navegadores implementan en contra ataques de un solo clic.
¿Cuáles pueden ser las consecuencias de un ataque de doubleclickjacking?
Ahora bien, lo más importante: ¿cuáles pueden ser las consecuencias de un ataque de doubleclickjacking? Como veremos a continuación, los escenarios son varios.
Los actores maliciosos pueden cambiar configuraciones sensibles de la seguridad de tus cuentas, pero también obtener permisos API, y en casos más extremos, obtener autorizaciones de pago y/o transferencias, o comprar cosas en tu nombre. A continuación, compartiremos algunos escenarios concretos.
Por un lado, a través de un ataque de doubleclickjacking, el actor malicioso puede engañarte para que apruebes el inicio de sesión en alguna de tus redes sociales y correo electrónico. Esto puede derivar en que pierdas acceso a tu cuenta (ya que pueden cambiar la contraseña) o que la utilicen para enviar mensajes a tus contactos para obtener dinero o distribuir malware.
En el caso de que el ataque apunte a plataformas de pago, puede hacer que autorices compras en línea sin tu consentimiento como también transferencias bancarias.
Adicionalmente, el ciberatacante también podría aprovecharlo para instalar malware en el dispositivo, activar permisos para que un programa le brinde acceso (por ejemplo, a la cámara, el micrófono o la ubicación) y hasta desplegar ransomware.
¿Cómo protegerse de un ataque de doubleclickjacking?
Como ante cualquier tipo de ataque, siempre hay medidas preventivas que pueden tomarse para reducir sensiblemente el riesgo de ser víctima.
En el caso puntual del doubleclickjacking, un gran primer paso hacia la prevención es mantener actualizados tanto los equipos como los navegadores. Tal como mencionamos anteriormente, el doubleclickjacking es una técnica relativamente nueva que se aprovecha de vulnerabilidades en los sitios, por lo cual es posible que futuras actualizaciones corrijan estos fallos, evitando así que puedan ser explotados por los cibercriminales.
También es muy importante estar alerta ante cualquier acción extraña que pueda suceder en un sitio web: hablamos de botones que soliciten doble clic, captchas o ventanas emergentes. Y en consecuencia, prestar mucha atención a los mensajes de confirmación, y evitar dar clics inmediatos en las ventanas emergentes que se acaban de abrir.
En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales.
