Este tipo de ataque aprovecha vulnerabilidades incluso en sitios legítimos y puede llevar a pérdidas económicas, acceso no autorizado a cuentas y robo de datos personales.
El ecosistema de amenazas informáticas sigue evolucionando, y el 2025 ha traído consigo una técnica de ataque particularmente insidiosa: el doubleclickjacking. Esta variante sofisticada del clickjacking tradicional explota los dobles clics que los usuarios realizan en sitios web —incluso legítimos— para ejecutar acciones maliciosas sin su consentimiento. La compañía ESET Latinoamérica, especializada en seguridad informática, advierte sobre esta nueva amenaza, explica su funcionamiento y brinda recomendaciones para protegerse.
“El doubleclickjacking es una clara muestra de cómo los actores maliciosos no descansan en su búsqueda de nuevas formas de atacar a las víctimas”, afirma Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. A diferencia del clickjacking convencional, esta técnica requiere dos clics por parte del usuario: el primero sirve como preparación para el ataque y el segundo lo ejecuta.
¿Cómo funciona? A través de una técnica conocida como «iframe invisible», los atacantes superponen elementos visuales en una página web, ocultando bajo ellos botones o formularios que ejecutan acciones no deseadas. En un escenario típico, el usuario cree estar interactuando con un sitio legítimo —por ejemplo, haciendo clic para ver el resultado de un test— pero en realidad está confirmando un acceso o una transacción.
“Al momento de hacer clic en ‘Ver resultado’ del test, el sitio cambia de manera instantánea la interfaz, sin que lo notes. Allí, debajo del cursor puede haber, por ejemplo, un botón oculto de ‘Confirmar’ en una página de inicio de sesión de una red social. Entonces, al hacer clic nuevamente creyendo que se continúa en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta”, explica Gutiérrez Amaya.
Lo más alarmante es que este ataque no requiere que la víctima visite un sitio web malicioso: puede ejecutarse en páginas legítimas que no estén debidamente protegidas, eludiendo así mecanismos tradicionales de defensa contra el clickjacking.
¿En qué se diferencia del clickjacking tradicional?
El clickjacking es una técnica bien conocida que consiste en superponer elementos invisibles sobre sitios legítimos para inducir al usuario a hacer clic en funciones ocultas. Su eficacia reside en que el usuario cree estar activando una función inocua, cuando en realidad ejecuta otra completamente distinta. Sin embargo, muchas medidas de seguridad actuales —como las políticas de control de contenido y protección contra marcos embebidos— ya están preparadas para detectarlo.
El doubleclickjacking, en cambio, agrega un nivel de complejidad. Su necesidad de dos clics hace que pueda sortear las protecciones de los navegadores diseñadas para ataques de un solo clic. Por eso, esta técnica es mucho más difícil de detectar, tanto para los sistemas automáticos como para los propios usuarios.
¿Qué consecuencias puede tener?
El impacto de un ataque de doubleclickjacking puede ser severo:
- Accesos no autorizados a redes sociales, correos electrónicos y otras plataformas digitales.
- Cambio de contraseñas y pérdida total de control sobre cuentas personales.
- Autorizaciones de pagos o transferencias bancarias sin conocimiento del usuario.
- Instalación de malware o activación de permisos críticos como acceso a la cámara, micrófono o ubicación.
- Despliegue de ransomware, bloqueando el acceso a dispositivos o información sensible.
Una situación especialmente riesgosa se da cuando el ataque apunta a plataformas de pago: los atacantes pueden realizar compras en línea o transferencias de dinero sin que el usuario se dé cuenta hasta que es demasiado tarde.
Recomendaciones para protegerse
ESET recomienda una serie de medidas preventivas para reducir al mínimo el riesgo de ser víctima de este tipo de ataque. Las más importantes son:
- Mantener equipos y navegadores actualizados. Dado que el doubleclickjacking explota vulnerabilidades específicas, muchas de ellas pueden ser corregidas con parches y actualizaciones de software.
- Estar atentos a comportamientos extraños en los sitios web que se visitan: botones que piden confirmación mediante doble clic, captchas inusuales, o ventanas emergentes inesperadas pueden ser señales de alerta.
- No hacer clic de forma apresurada en ventanas emergentes o elementos recién cargados en una página. Leer con atención cualquier mensaje de confirmación es clave.
- Evitar navegadores o extensiones obsoletas, ya que podrían no estar equipados con las defensas necesarias.
“En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales”, concluye Gutiérrez Amaya.
Además, desde ESET invitan a ampliar conocimientos en ciberseguridad mediante su portal de noticias y su podcast “Conexión Segura”, disponible en Spotify, donde se analizan las tendencias más recientes del mundo digital y los desafíos en seguridad informática.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
