Double-clickjacking, un ataque que pone en riesgo la seguridad

Desde el comienzo del año, ha surgido una nueva forma de estafa cibernética que ha captado la atención de los expertos: el double-clickjacking. Este ataque se aprovecha de fallos en la interfaz de usuario de sitios web y elude las protecciones de los navegadores, poniendo potencialmente en peligro a millones de personas alrededor del mundo. Te explicamos como mejorar la ciberseguridad.

¿En qué consiste el double-clickjacking?

El double-clickjacking es una variante más avanzada de los ataques de clickjacking, en los que los ciberdelincuentes manipulan la interfaz de una página web para que los usuarios hagan clic en enlaces o botones invisibles.

En este nuevo tipo de ataque, los criminales digitales explotan el intervalo entre el primer y el segundo clic para insertar un componente malicioso que activa acciones no deseadas en segundo plano.

Por ejemplo, al hacer doble clic en un captcha o botón de confirmación, el primer clic puede cerrar una ventana visible, mientras que el segundo clic ejecuta una acción en una página sensible que está cargada en segundo plano.

Ya se ha demostrado la efectividad de esta técnica, ya que los atacantes han utilizado códigos diseñados para vulnerar cuentas en plataformas como Slack, Shopify y Salesforce. Los efectos de este ataque incluyen:

  • Obtener acceso a permisos de APIs.
  • Cambiar configuraciones de seguridad importantes.
  • Realizar pagos o transferencias bancarias no autorizadas.

El experto en ciberseguridad Paulos Yibelo, quien ha investigado este ataque, resalta que el método es sumamente eficaz. Utilizando eventos como el mousedown, se asegura de que el segundo clic caiga directamente sobre el elemento malicioso, sin importar la velocidad con la que el usuario haga clic. Según Yibelo, «cualquier página que maneje autenticaciones OAuth, pagos o acciones de alta prioridad debe contar con medidas de seguridad hasta que los navegadores encuentren soluciones definitivas».

¿Por qué es tan peligrosa esta técnica?

El double-clickjacking presenta varios riesgos que lo hacen difícil de detectar y más peligroso:

  • Difícil detección: Los elementos maliciosos se insertan rápidamente y de manera oculta, lo que hace que la víctima no note la manipulación.
  • Compatibilidad con sitios legítimos: Los atacantes pueden aplicar esta técnica en plataformas de confianza, como extensiones de navegador o servicios de autenticación de terceros.
  • Poca interacción requerida: Un simple doble clic puede ser suficiente para ejecutar el ataque.

Además, los navegadores actuales no cuentan con medidas adecuadas para prevenir este tipo de amenazas, ya que sus defensas están pensadas para proteger contra ataques de un solo clic.

Recomendaciones de ciberseguridad

Para los usuarios:

  • Mantener sistemas y navegadores actualizados: Tener los dispositivos al día ayuda a reducir la exposición a vulnerabilidades conocidas.
  • Estar atentos a señales inusuales: Captchas extraños, ventanas emergentes inesperadas o botones que requieren un doble clic pueden ser indicativos de un posible ataque.
  • Evitar clics apresurados: Leer cuidadosamente los mensajes de confirmación y evitar hacer doble clic innecesarios.

Para desarrolladores y empresas:

  • Implementar defensas en la interfaz de usuario: Deshabilitar botones críticos hasta que el usuario realice acciones intencionadas, como mover el ratón o utilizar el teclado.
  • Añadir scripts de protección: Las páginas que manejan transacciones sensibles, como pagos o autenticaciones, deben incluir medidas que dificulten los intentos de los atacantes de cambiar de ventana.
  • Promover estándares de seguridad en los navegadores: Los navegadores deben actualizarse para incorporar protecciones nativas contra este tipo de ataques.