Entre las nuevas técnicas empleadas por los hackers para engañar, se comenzó a emplear una llamada double-clickjacking, la cual consiste en una evolución del clickjacking tradicional, un ataque que engaña al usuario para que haga click en un elemento de una página web que es invisible o está camuflado en otro elemento.
Específicamente, los ciberdelincuentes alteran la interfaz de sitios web para engañar a las víctimas. Al hacer doble clic, pueden robar credenciales, instalar malware o autorizar transacciones sin que la persona lo note.
Para los usuarios individuales, los ataques de double-clickjacking representan serios riesgos, ya que son difíciles de detectar hasta que ya es demasiado tarde, y a la vez son muy efectivos.
Por otro lado, las consecuencias de estos ataques también son importantes para las empresas: pueden ocasionar la pérdida de datos sensibles, como información confidencial, dañan la reputación de la compañía y podrían llevar a que se ejecuten acciones legales contra la firma por la filtración de datos.
El double-clickjacking lleva el engaño un paso más allá. En lugar de requerir solo un click, este ataque se basa en aprovechar el intervalo entre el primer y el segundo click que realiza un usuario en un elemento de un sitio web intervenido que parece legítimo y atractivo.
Estas webs, generalmente ofrecen contenido tentador como premios o descargas gratuitas. No obstante, detrás de esta fachada se esconden elementos invisibles que pueden ejecutar acciones dañinas.
Por ejemplo, si un usuario navega por internet y encuentra un anuncio que promete participar en un concurso o suscribirse a un programa de compras con descuento, al hacer doble click en el anuncio, el primer toque podría abrir una ventana emergente que pareciera ser parte del proceso de registro.
Sin embargo, el segundo click podría estar diseñado para interactuar con un botón oculto que permite al atacante:
Acceder a información personal, como datos de tarjetas de crédito o credenciales
Realizar transacciones no autorizadas, como compras o suscripciones pagas
Modificar configuraciones de seguridad que podrían dejar al usuario vulnerable a futuros ataques
Descargar virus malware que capture contraseñas que le permitan al ciberdelincuente acceder a sus perfiles y cuentas bancarias
En este sentido, hay que estar atentos para no sufrir este tipo de engaño y prestarle atención a los siguientes factores: