Tecnología
La peligrosa estrategia que usarían los delincuentes para cometer millonarias estafas con solo dar doble clic en una página web
Este tipo de ataques colocan en riesgo tanto la seguridad económica como la información personal de los usuarios.
El desarrollo constante de la tecnología y la expansión del internet han transformado la manera en que las personas gestionan sus actividades cotidianas, permitiéndoles realizar múltiples tareas sin salir de casa. Sin embargo, junto con estos beneficios también han aumentado los peligros asociados, como los fraudes digitales y las estafas cibernéticas, que colocan en riesgo tanto la seguridad económica como la información personal de los usuarios.
Uno de los ataques que más alarma ha generado en los últimos tiempos es el denominado doubleclickjacking, que se popularizó a comienzos de 2025. Pero, ¿cómo funciona este ataque? La nueva técnica se aprovecha de la interacción del usuario al hacer clic dos veces consecutivas, comúnmente en procesos de pago o validación de transacciones, manipulando fallos de seguridad en los sitios web.
Los ciberdelincuentes insertan de manera encubierta un contenido malicioso entre ambos clics para provocar que la víctima, de forma inadvertida, active comandos peligrosos. Gracias al uso de un “iframe invisible”, los atacantes superponen un elemento engañoso sobre los botones legítimos, haciendo que el usuario actúe sin percatarse de la maniobra.
Ante esta situación, los especialistas en seguridad recalcan la importancia de adoptar hábitos responsables en la navegación y fortalecer las defensas digitales para enfrentar este tipo de amenazas emergentes. Además, una empresa de ciberseguridad estudió cómo operan estos ataques, con qué finalidad son ejecutados y qué precauciones se deben tomar para minimizar el riesgo.
Lo más leído
“Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el doubleclickjacking es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que al momento de hacer clic en ‘Ver resultado’ del test, el sitio cambia de manera instantánea la interfaz, sin que lo notes, gracias a la técnica de ‘iframe invisible’”, precisó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Luego, agregó que: “Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de ‘Confirmar’ en una página de inicio de sesión de una red social, entonces al hacer clic nuevamente creyendo que se continúa en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta”.
Este tipo de ataques puede realizarse perfectamente en sitios legítimos, sin la necesidad de llevar a la víctima a un sitio web falso. Así, el atacante logra evitar las defensas que existen actualmente contra el clickjacking, y sus acciones con fines maliciosos ocurren en páginas legítimas, pero que no están protegidas debidamente.
Las consecuencias de un ataque de doubleclickjacking pueden derivar en el cambio de configuraciones sensibles de la seguridad de las cuentas, obtener permisos API, y en casos más extremos, obtener autorizaciones de pago y/o transferencias, o comprar cosas a nombre del usuario sin que lo sepa.
Adicionalmente, el ciberatacante también podría instalar malware en el dispositivo, activar permisos para que un programa le brinde acceso (por ejemplo, a la cámara, el micrófono o la ubicación) y hasta desplegar ransomware.
