Cuidado con el double-clickjacking, la estafa que hackea los clics de tu ratón
Una nueva vulnerabilidad permite a los ciberdelincuentes sortear las protecciones de seguridad web mediante el doble clic del usuario
Los expertos en ciberseguridad han descubierto una nueva técnica de ataque que aprovecha el tiempo entre dos clics consecutivos para infiltrarse en las cuentas de los usuarios. Este método, denominado double-clickjacking, consigue burlar todas las protecciones conocidas contra el hackeo de clics tradicional, incluyendo las cabeceras X-Frame-Options y las cookies SameSite.
Según informa The Hacker News, esta vulnerabilidad afecta a la mayoría de sitios web importantes y permite a los atacantes tomar el control de las cuentas con una mínima interacción por parte del usuario. El proceso se inicia cuando el internauta visita una página maliciosa que abre una nueva ventana, habitualmente camuflada como una verificación CAPTCHA.
Así funciona esta nueva modalidad de ataque que pone en jaque la seguridad web
La amenaza del double-clickjacking se suma a un panorama de ciberseguridad cada vez más complejo. Los ataques son cada vez más sofisticados, como demuestra el caso del hacker chino que ha infectado más de 81.000 ordenadores, por cuya captura Estados Unidos ofrece una recompensa de 10 millones de dólares.
El mecanismo de esta nueva estafa es especialmente peligroso porque explota una acción muy común: el doble clic. Cuando el usuario realiza esta acción en la ventana emergente, la página principal utiliza el objeto Window Location de JavaScript para redirigir silenciosamente hacia un sitio malicioso, mientras la ventana se cierra automáticamente.
La situación es particularmente preocupante en un contexto donde los ciberataques son cada día más frecuentes. Recientemente, un grupo de hackers ha exigido 38 millones de euros por el rescate de 560 GB de información de Hacienda, evidenciando la creciente amenaza del secuestro de datos en instituciones públicas.
Para protegerse de esta vulnerabilidad, los expertos recomiendan prestar especial atención a las ventanas emergentes y evitar realizar doble clic en elementos sospechosos. También es fundamental mantener actualizados todos los dispositivos y utilizar conexiones seguras, especialmente al considerar que incluso los puertos USB-C pueden ser una puerta abierta a los hackers.
La detección de esta vulnerabilidad resalta la importancia de contar con profesionales especializados en ciberseguridad. De hecho, los hackers rojos se han convertido en una profesión del presente y del futuro que promete una gigantesca proyección, siendo fundamentales para detectar y prevenir nuevas amenazas como el double-clickjacking.
El investigador Paulos Yibelo, quien también descubrió la técnica de falsificación entre ventanas o cross window forgery hace un año, advierte que las soluciones actuales son insuficientes. Esta variante permite el hackeo de cuentas en plataformas como Coinbase y Yahoo! cuando un usuario mantiene pulsada la tecla Enter o la barra espaciadora. Aunque algunos servicios como Dropbox ya han implementado medidas preventivas, se necesita que los navegadores adopten nuevos estándares para defenderse eficazmente contra estas amenazas.
