Uno de los ataques cibernéticos, que ha evolucionado de manera significativa, son los clickjacking, que hoy han incorporado el uso del doble clic del mouse como estrategia para engañar a los usuarios y eludir las medidas de seguridad en las páginas web.
Esta amenaza denominada “DoubleClickjacking”, ha sido descubierta por el investigador Paulos Yibelo, aprovecha el lapso entre el primer y el segundo clic para introducir elementos maliciosos en la interfaz de usuario, manipulando lo que la persona cree que está seleccionando. En ese sentido, Bitdefender e Intecnia Corp, especialistas en ciberseguridad, comparte más información sobre este tipo de amenaza y tips.
Los ataques tradicionales de clickjacking suelen basarse en mecanismos ocultos para manipular los clics de los usuarios. Sin embargo, DoubleClickjacking emplea un mecanismo único que evita las protecciones relacionadas con iframes y se centra en una combinación de tiempo e interacción del usuario.
Cómo funciona el DoubleClickjacking
- El señuelo: la víctima llega a una página web maliciosa que alberga un botón atractivo con una etiqueta que dice “Haga clic aquí para obtener su recompensa”.
- Engaño en capas: al hacer clic en el botón, aparece una nueva ventana superpuesta en la pantalla de la víctima, que le solicita que realice una acción aparentemente inofensiva, como resolver un captcha.
- Cebo: en segundo plano, JavaScript cambia dinámicamente la página subyacente a un sitio web legítimo, alineando botones o enlaces sensibles con el cursor de la víctima.
- El exploit: el segundo clic de la víctima aterriza en el botón sensible ahora visible, lo que desencadena acciones como otorgar permisos o autorizar transacciones.
Implicaciones del ataque
Esta manipulación evita las defensas tradicionales contra el secuestro de clics, incluidas restricciones como X-Frame-Optionso frame-ancestors. Dado que el exploit implica la interacción directa del usuario con sitios legítimos, evita eficazmente la protección de cookies y las restricciones de solicitudes entre sitios.
El ataque no se limita a computadoras o sitios web; también puede afectar extensiones de navegador y teléfonos móviles. Según Paulos Yibelo “Esta técnica se puede utilizar para atacar no solo sitios web, sino también extensiones de navegador. Por ejemplo, he realizado pruebas de concepto para las mejores billeteras de criptomonedas de navegador que utilizan esta técnica para autorizar transacciones web3 y dApps o deshabilitar VPN para exponer la IP, etc. Esto también se puede hacer en teléfonos móviles al pedirle al objetivo que haga un ‘DoubleTap’”.
Las defensas actuales son insuficientes
Lamentablemente, los exploits basados en el tiempo aún carecen de mecanismos de defensa sólidos. Sin embargo, algunas medidas proactivas propuestas por Yibelo pueden contrarrestar esta amenaza emergente:
- Protección de JavaScript: Implementar scripts para deshabilitar botones sensibles hasta que se detecten gestos explícitos del usuario, como movimientos del mouse
- Encabezados HTTP: introducción de encabezados que restringen el cambio rápido de contexto entre ventanas del navegador durante una secuencia de doble clic, lo que evita que los atacantes exploten este comportamiento
- Se espera que las soluciones propuestas agreguen fricción a las interacciones del usuario, reduciendo la probabilidad de clics inadvertidos en elementos sensibles.
Software de seguridad especializado
Un software especializado como Bitdefender puede protegerlo de páginas web maliciosas y otras intrusiones digitales como virus, gusanos, troyanos, spyware, ransomware, exploits de día cero, rootkits y otras amenazas cibernéticas. Ingresa a www.bitdefenderperu.com que cuenta con todas las herramientas y la protección que necesita para proteger su información.
