Vamos a explicarte en qué consiste la ciberestafa del Double-clickjacking, una técnica que está llamando la atención de los expertos en seguridad desde que comenzó este año nuevo. Se trata de un tipo de ataque que usa los dobles clics de tu ratón para explotar vulnerabilidades en la interfaz de las páginas que visitas.
Con esto, lo que hacen los atacantes es sortear las medidas de protección de los navegadores, lo que tiene el potencial para afectar a millones de usuarios en todo el mundo. Por eso, vamos a explicarte cómo funciona esta estafa, y qué hacer para prevenirla, tanto por parte de usuarios como para las empresas.
Cómo funciona este tipo de ataque
Los ataques de Double-clickjacking son una evolución de otros llamados simplemente Clickjacking. En este tipo de ataques, los ciberdelincuentes consiguen acceder a una web legítima, e insertan botones y enlaces ocultos en sitios clave de su interfaz para que, al pulsar en ellos, puedan llevar a las víctimas a una web maliciosa donde intentar engañarles.
Double-clickjacking es parecido pero con dos pasos, y los atacantes insertan un elemento malicioso entre el primer y segundo clic para desencadenar acciones no deseadas. Vamos, que insertan un botón malicioso para que hagas doble clic. Y cuando haces el primer clic insertan otro elementos para que lo lances cuando hagas el segundo.
Por poner un ejemplo, imagínate que se te muestra en una web un Captcha fraudulento, o algún tipo de botón de confirmación. Entonces, el primer clic cerraría una ventana invisible para que aparentemente no pase nada, y cuando hagas el segundo se ejecutará una acción en segundo plano.
Este tipo de ataques se ha usado de forma exitosa en plataformas populares, como Slack, Shopify y Salesforce. Con él, los cibercriminales pueden cambiar configuraciones críticas de la seguridad de tu cuenta, obtener permisos API, o realizar autorizaciones de pago o transferencias bancarias para robarte dinero o comprar cosas en tu nombre.
El peligro de este ataque es que es muy difícil de detectar por parte de los usuarios, y puede realizarse en sitios legítimos, por lo que no necesitan llevarte a una web falsa. Además, no necesita mucha interacción, simplemente con hacer un doble clic será suficiente.
Además, al ser un tipo de ataque bastante novedoso, los navegadores todavía no tienen mecanismos robustos para prevenirlos. Normalmente, las protecciones que tienen están diseñadas para las acciones que están basadas en un solo clic, pero no para las basadas en un segundo clic.
Cómo evitar este tipo de ataque
Como usuario, el principal método para evitar este tipo de ataques es mantener siempre actualizado tu ordenador y navegador. Según se van descubriendo vulnerabilidades se van solucionando, y por eso mantener tu sistema operativo y el navegador actualizados reduce tu exposición a las vulnerabilidades descubiertas que puedan aprovecharse.
También es importante prestar atención a las señales sospechosas que puedas detectar en una web, como una ventana emergente no esperada, algún botones que pidan doble clic o Captchas inusuales con diseños diferentes a lo habitual. Esto pueden ser indicaciones de este tipo de ataques.
Y por último, un consejo que te sirve para muchos tipos de ataque es no dar clics rápidos en ventanas que se acaban de abrir. Primero lee detenidamente los mensajes de confirmación, y también debes evitar hacer doble clic en ventanas que solo necesitan uno.
Y en cuanto desarrolladores y empresas con webs, deben intentar implementar defensas en las interfaces de usuarios como deshabilitar botones críticos hasta que los usuarios hagan gestos intencionados, deberían añadir scripts defensivos, y promover estándares de seguridad en los navegadores.
En Xataka Basics | Cómo protegerte de ciberataques por Bluetooth: nuestros consejos para evitar hackeos y vulnerabilidades
Ver 1 comentarios