Un doble clic basta para perder el control: la nueva trampa digital que se esconde en internet

Todo comienza con una página que parece segura. Participas en un test, haces clic para ver los resultados y sin darte cuenta, tu siguiente clic activa una acción que no decidiste.

Puede ser la aprobación de una compra, la apertura de una sesión en una red social o incluso una transferencia bancaria. Así funciona el ‘doubleclickjacking’, una técnica que ha venido tomado fuerza en la red y que pone en jaque la seguridad de millones de usuarios.

Este nuevo tipo de ataque no requiere que ingreses a sitios falsos. Tampoco necesita que descargues archivos. Se vale únicamente de algo que haces todos los días: hacer clic. Con solo dos clics, los ciberatacantes pueden superar las defensas tradicionales y tomar el control de tu información sin que lo sepas.

El doubleclickjacking explota una técnica conocida como iframe invisible, que permite insertar un elemento transparente sobre un botón visible. El truco está en que el primer clic activa una modificación en la página. Justo después, el segundo clic se realiza sobre otro botón que ya no forma parte del sitio original, aunque tú no puedas verlo.

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó que este ataque puede darse en una página legítima. Por ejemplo, al participar en un test en línea, el usuario hace clic en “ver resultado”.

En ese instante, el sitio cambia sin mostrarlo y coloca debajo del cursor un botón oculto de “confirmar” en otra plataforma. El segundo clic, que parece parte del test, en realidad aprueba el acceso de un tercero a tu cuenta.

Esta modalidad permite ejecutar acciones sin llevar a la víctima a una web falsa. El ataque ocurre en un sitio verdadero, lo que lo hace más difícil de detectar.

El clickjacking clásico es una técnica donde se oculta un botón malicioso bajo uno legítimo. Un solo clic es suficiente para activar la acción no deseada. Por ejemplo, crees que das un “me gusta”, pero en realidad aceptas términos o haces una compra. Debido a su antigüedad, los navegadores y sistemas de seguridad modernos ya tienen herramientas para bloquear este tipo de engaños.

En cambio, el doubleclickjacking requiere dos pasos. El primero prepara la trampa y el segundo ejecuta el ataque. Esta estructura más compleja le permite eludir defensas que solo vigilan clics únicos. Por eso, representa un riesgo mayor para quienes confían únicamente en la protección automatizada de sus dispositivos.

Las acciones que puede activar un ataque de doubleclickjacking son diversas. Desde autorizar inicios de sesión en redes sociales hasta aprobar pagos electrónicos o transferencias bancarias sin que te des cuenta. En algunos casos, los atacantes pueden instalar software malicioso, tomar control de la cámara o micrófono del dispositivo, o incluso bloquearlo con ransomware para pedir un rescate.

La víctima puede perder el control de sus cuentas, ver cómo se vacían sus saldos o cómo su información se usa para estafas posteriores. Todo, a partir de una secuencia de clics aparentemente inocente.

Los expertos de ESET recomiendan dos medidas fundamentales. Primero, mantener actualizado el navegador y el sistema operativo. Las actualizaciones corrigen vulnerabilidades que este tipo de ataques busca explotar.

Segundo, prestar atención a los comportamientos inusuales de los sitios web. Si una página legítima solicita varios clics sin explicación o lanza ventanas emergentes inesperadas, lo mejor es detenerse.

Evita hacer clic de inmediato cuando aparezcan mensajes de confirmación. Verifica que cada acción tenga sentido. Si algo te parece fuera de lugar, cierra la página y accede nuevamente desde una fuente confiable.