Hacer clic en un botón en una página web es algo que hacemos casi sin pensarlo, ¿no? Es tan automático como abrir un correo o buscar algo en Google. Pero, ¿te has puesto a pensar que un simple doble clic podría ser suficiente para que alguien robe tus cuentas? Suena loco, pero eso es exactamente lo que pasa con el DoubleClickjacking, una nueva variante de los ataques de clickjacking. Este método permite a los atacantes engañar a los usuarios para que, con dos simples clics, autoricen acciones sensibles, mientras logran evadir las protecciones de seguridad que normalmente evitarían este tipo de trampas.
¿Qué es el ClickJacking?
El clickjacking, también conocido como "UI redressing", es básicamente un truco que usan los ciberdelincuentes para engañarte y hacer que hagas clic en cosas que no ves o que están camufladas en una página web. Es como si te tendieran una trampa visual, y sin darte cuenta, caes en ella.
¿Cómo funciona? Los atacantes crean una página falsa y superponen un sitio legítimo dentro de un iframe oculto (una especie de ventana invisible). Luego, alinean los botones y enlaces del sitio legítimo con los de su página falsa. Así, cuando haces clic creyendo que estás interactuando con la página falsa –por ejemplo, para ganar un premio o ver una imagen– en realidad estás haciendo clic en los botones del sitio legítimo que no ves.
Esto puede llevarte a realizar acciones que nunca quisiste hacer, como dar acceso a tu cuenta a una aplicación maliciosa, aceptar una solicitud de autenticación de dos factores (MFA), o cualquier otra cosa que el atacante haya planeado.
Por suerte, con el tiempo, los desarrolladores de navegadores han implementado varias medidas para protegernos de estos ataques. Por ejemplo, ahora hay restricciones de seguridad como X-Frame-Options o frame-ancestors, que limitan el uso de iframes en sitios web, y los navegadores ya no permiten enviar cookies entre sitios fácilmente. Aun así, el clickjacking sigue siendo un riesgo en casos donde estas protecciones no están configuradas correctamente, así que nunca está de más estar alerta.
Conoce más sobre: ¿Qué es un Ataque de Clickjacking?
El Nuevo Ataque DoubleClickjacking: Lo que debes saber
El investigador de ciberseguridad Paulos Yibelo ha revelado un nuevo tipo de ataque llamado DoubleClickjacking, que se aprovecha de los dobles clics del ratón para engañar a los usuarios y hacer que realicen acciones sensibles en sitios web sin darse cuenta.
¿Cómo funciona? Imagina esto: un atacante crea un sitio web con un botón aparentemente inofensivo que dice algo como "Haz clic aquí para reclamar tu premio" o "Mira esta película gratis". Parece algo normal, ¿verdad? Pues no.
Cuando haces clic en ese botón, se abre una nueva ventana que cubre la página original. En esta nueva ventana aparece algo como un captcha que parece legítimo, pidiéndote que lo resuelvas para continuar. Mientras tanto, en el fondo, el código malicioso de la página original redirige el sitio a una página legítima, como una página de inicio de sesión o autorización de permisos.
Aquí es donde entra el truco del doble clic. El captcha en la nueva ventana te pide hacer doble clic para resolverlo. Pero lo que realmente está pasando es que, en el primer clic, se cierra la ventana superpuesta del captcha y, en el segundo clic, terminas presionando un botón o enlace en la página legítima que estaba oculta.
El resultado: sin saberlo, podrías haber autorizado algo peligroso, como instalar un complemento, conectar una aplicación maliciosa a tu cuenta mediante OAuth o incluso confirmar un mensaje de autenticación multifactor (MFA). Todo esto ocurre tan rápido que probablemente ni te des cuenta de que algo salió mal.
Este ataque es ingenioso porque combina el engaño visual con el comportamiento natural de los usuarios al hacer clic rápidamente para completar tareas. Por eso, es fundamental conocer estos riesgos y estar alerta para proteger tus cuentas y dispositivos.
Flujo de ataque de DoubleClickjacking
Lo que hace que este ataque sea tan peligroso es que logra saltarse todas las defensas tradicionales contra el clickjacking. No usa iframes ni intenta mover cookies entre dominios, que son las tácticas más comunes y contra las que la mayoría de los sitios ya están protegidos. En lugar de eso, este ataque se ejecuta directamente en sitios legítimos que no tienen medidas para prevenir este tipo de manipulaciones.
Según el investigador Yibelo, casi cualquier sitio web es vulnerable a este ataque. Incluso compartió videos de demostración donde usó el DoubleClickjacking para tomar el control de cuentas en plataformas como Shopify, Slack y Salesforce.
Y eso no es todo. Yibelo advierte que este método no se limita solo a páginas web: también puede ser usado contra extensiones del navegador. Por ejemplo, logró crear pruebas de concepto con billeteras de criptomonedas en navegadores para autorizar transacciones en Web3 o dApps sin el consentimiento real del usuario. Incluso pudo deshabilitar VPNs para exponer direcciones IP, todo usando esta técnica.
Lo peor es que esto no solo afecta a usuarios de computadoras, sino también a dispositivos móviles, donde los atacantes pueden pedir a las víctimas que hagan un “doble toque” en lugar de un doble clic para lograr el mismo efecto.
Mira este video y descubre todos los detalles.
Podría interesarte leer: Principales Historias de Ciberseguridad y Ciberataques de 2024
¿Cómo protegerse?
Yibelo sugiere algunas soluciones para frenar este ataque. Una de ellas es agregar un fragmento de código JavaScript a las páginas web, que desactive botones sensibles hasta que se haga un gesto específico. Esto evitaría que el doble clic realice acciones automáticamente en botones expuestos después de eliminar la superposición del atacante.
Además, propone una posible solución basada en un encabezado HTTP que limite o incluso bloquee el cambio rápido de contexto entre ventanas durante una secuencia de doble clic. Esto podría dificultar la ejecución de ataques que aprovechan esa transición tan rápida entre ventanas y elementos superpuestos.
En resumen, este ataque es un claro recordatorio de cómo los ciberdelincuentes siguen encontrando formas ingeniosas de evadir las medidas de seguridad. La clave es seguir aprendiendo sobre estas amenazas y aplicar las mejores prácticas para proteger nuestras cuentas y dispositivos.
