En el mundo digital, donde la seguridad es una constante preocupación, ha surgido un nuevo tipo de ataque que aprovecha los dobles clics para robar información y acceder a cuentas de usuarios: el doubleclickjacking. Este peligroso método, que tomó notoriedad a principios de 2025, se basa en explotar vulnerabilidades en las páginas web que visitamos, con el objetivo de desencadenar acciones no deseadas sin que nos demos cuenta.
¿Cómo Funciona el Doubleclickjacking?
A diferencia del clickjacking, que se basa en un solo clic, el doubleclickjacking requiere dos clics para ser efectivo. El primer clic prepara la trampa, mientras que el segundo la activa. Los ciberdelincuentes insertan un elemento malicioso entre estos dos clics, utilizando una técnica llamada «iframe invisible», que superpone un elemento sobre un botón o enlace legítimo, haciendo que el usuario interactúe sin poder verlo ni darse cuenta del cambio.
«Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el doubleclickjacking es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que al momento de hacer clic en ‘Ver resultado’, el sitio cambia de manera instantánea la interfaz, sin que lo notes, gracias a la técnica de ‘iframe invisible’. Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de ‘Confirmar’ en una página de inicio de sesión de una red social, entonces al hacer clic nuevamente creyendo que se continua en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta», explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Consecuencias Devastadoras del Doubleclickjacking
Las consecuencias de un ataque de doubleclickjacking pueden ser realmente graves. Los ciberdelincuentes pueden lograr cambiar la configuración de seguridad de tus cuentas, obtener permisos de API, e incluso autorizar pagos y transferencias a su nombre, sin que te des cuenta. Además, pueden instalar malware en tu dispositivo, acceder a tu cámara, micrófono o ubicación, e incluso desplegar ransomware.
A diferencia del clickjacking, que es más sencillo de detectar y prevenir, el doubleclickjacking es una técnica más compleja que puede eludir algunas de las protecciones que los navegadores implementan. Por eso, es fundamental estar alerta y tomar medidas preventivas para reducir el riesgo de ser víctima de este tipo de ataque.
Cómo Protegerte del Doubleclickjacking
Desde ESET, recomiendan las siguientes medidas preventivas:
- Mantener actualizados tanto los equipos como los navegadores. Las futuras actualizaciones pueden corregir las vulnerabilidades que los cibercriminales explotan.
- Estar alerta ante cualquier acción extraña que pueda suceder en un sitio web, como botones que soliciten doble clic, captchas o ventanas emergentes. Prestar mucha atención a los mensajes de confirmación y evitar dar clics inmediatos en las ventanas emergentes.
«En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales», concluye Gutiérrez Amaya.
Mantente informado sobre las últimas amenazas cibernéticas y aprende a proteger tus datos y dispositivos en el portal de noticias de ESET: https://www.welivesecurity.com/es/cibercrimen/que-es-el-doubleclickjacking/
Además, descubre más sobre seguridad informática en el podcast Conexión Segura de ESET: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
