Un doble clic le puede salir muy caro: recomendaciones para evitar ser víctima de modalidad de robo en la que muchos caen
Los ataques ‘doubleclickjacking’, que han tomado reciente notoriedad en el primer cuatrimestre de 2025, se valen de una acción tan sencilla como cliquear dos veces para robar datos de los usuarios digitales.
La técnica funciona cuando los ciberdelincuentes insertan un elemento malicioso entre el primer y segundo clic de páginas web para así desencadenar acciones no deseadas por parte de la víctima.
Una vez el usuario realiza el primer clic, se inserta otro elemento que se activa cuando se efectúa el segundo.
Esto se da mediante a una técnica llamada “iframe invisible” que superpone un elemento sobre el botón para que el usuario interactúe sin poder verlo ni darse cuenta del cambio.
“Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test y que al momento de hacer clic en ‘Ver resultado’ del test, el sitio cambia de manera instantánea la interfaz, sin que lo notes”, advierte el jefe del laboratorio de investigación de la empresa de seguridad digital ESET Latinoamérica por medio de un comunicado de la empresa.
“Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de ‘Confirmar’ en una página de inicio de sesión de una red social, entonces al hacer clic nuevamente creyendo que se continua en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta”, añade.
Según esa información, este tipo de ataques puede darse en sitios legítimos sin la necesidad de llevar a la víctima a un sitio web falso.
Es así como el atacante logra evitar las defensas que existen actualmente contra técnicas similares en páginas legítimas, pero que aún no están protegidas debidamente.
Esta nueva estrategia maliciosa se asemeja a otra conocida como 'clickjacking', que ocurre cuando el ciberdelincuente superpone una página web legítima con elementos invisibles, pueden ser botones y/o enlaces, para engañar al usuario y que haga clic en algo sin darse cuenta.
Ese ataque busca que el usuario haga clic en algo puntual sin quererlo y su objetivo es que la víctima crea que está tocando un botón inofensivo, pero en realidad activa otro elemento escondido debajo.
Mediante el clickjacking, por ejemplo, un usuario cree que está dando un “Me gusta” a una foto, pero podría estar realizando una transferencia de dinero. Al tratarse de una técnica más “sencilla”, las medidas de seguridad actuales suelen detectar y prevenir eficazmente los intentos de clickjacking.
El doubleclickjacking, por su parte, se vale de dos clics para consumar el ataque: el primero prepara la trampa, mientras que el segundo la hace efectiva. Y debido a que es una técnica más compleja, puede eludir algunas de las protecciones que los navegadores implementan contra ataques de un solo clic.
Las consecuencias de un ataque de doubleclickjacking pueden derivar en el cambio de configuraciones sensibles de la seguridad de las cuentas y en casos más extremos obtener autorizaciones de pago y/o transferencias, así como realizar compras a nombre del usuario sin que este lo sepa.
El actor malicioso también podría entonces hacer que su víctima pierda acceso a alguna de sus cuentas cambiando la contraseña o utilizándola para enviar mensajes a sus contactos en aras de estafar.
Otro efecto podría derivar en el acceso de terceros al dispositivo para activar permisos de acceso a ciertas aplicaciones como la cámara, el micrófono y la ubicación, entre otros, para posibles futuros delitos.
En cuanto a las medidas preventivas que pueden tomarse para reducir sensiblemente el riesgo de ser víctima de este tipo de ataque, desde ESET recomiendan algunas precauciones.
La primera de ellas consiste en la frecuente actualización de los equipos y los navegadores, pues las próximas herramientas de ciberseguridad de cada dispositivo podrían bloquear la técnica.
También se advierte sobre estar alerta ante cualquier acción extraña que pueda suceder en un sitio web como botones que soliciten doble clic, ‘captchas’ o ventanas emergentes.
Por último, consideran importante estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales mientras que los portales trabajan independientemente para evitarlas.
