así es el nuevo timo que secuestra las pulsaciones de tu ratón mientras navegas

Por si fueran pocas, una nueva técnica de ciberestafa lleva captando la atención de los expertos desde que empezó este nuevo año: el 'double-clickjacking', que recurre al doble clic del ratón para explotar vulnerabilidades en la interfaz de beneficiario de páginas web y sortear medidas de protección de navegadores, lo que afectaría así (potencialmente) a millones de usuarios en todo el mundo.

¿En qué consiste el double-clickjacking?

El 'double-clickjacking' es una cambio de los ataques de clickjacking tradicionales, donde los ciberdelincuentes manipulan la interfaz web para hacer que las víctimas hagan clic en ordenanza o enlaces ocultos.

En esta nueva variable, los atacantes disimulan sus intenciones aprovechando el intervalo entre el primer y el segundo clic para insertar un tipo taimado que desencadena acciones no deseadas.

Por ejemplo, al realizar un doble clic en un supuesto 'captcha' o cogollo de confirmación, el primer clic cierra la ventana visible, mientras que el segundo activa una bono en una página sensible cargada en segundo plano.

Los ciberdelincuentes ya han demostrado su efectividad desarrollando códigos de prueba destinados a atacar cuentas en plataformas populares como Slack, Shopify y Salesforce. Este tipo de ataque puede explotarse para:

• Obtener permisos de API.
• Cambiar configuraciones críticas de seguridad.
• Realizar autorizaciones de suscripción o transferencias bancarias.

El experimentado en ciberseguridad Paulos Yibelo, mayor responsable de la investigación sobre este ataque, señala que la técnica es enormemente eficaz, ya que utiliza eventos como 'mousedown' para respaldar que el segundo clic caiga exactamente en el tipo taimado, independientemente de la velocidad del beneficiario. En palabras de Yibelo,

"cualquier página que maneje verificaciones de valor OAuth, confirmaciones de suscripción u otras acciones de reincorporación prioridad debe estar protegida hasta que existan soluciones definitivas en los navegadores".

¿Por qué es tan peligrosa esta técnica?

A diferencia de los ataques tradicionales, el double-clickjacking:

1. Es difícil de detectar: Los utensilios maliciosos se introducen de forma instantánea y enmascarada, haciendo que la víctima no se percate de la manipulación.
2. Es compatible con sitios legítimos: Los atacantes pueden consumir esta técnica en plataformas reconocidas, como extensiones de navegador o servicios de autenticación de terceros.
3. Requiere poca interacción: Baste un simple doble clic para que el ataque tenga éxito.

Adicionalmente, los navegadores actuales no cuentan con mecanismos robustos para predisponer este tipo de ataques, ya que las protecciones tradicionales están diseñadas para evitar acciones basadas en un único clic.

Para usuarios

1. Refrescar sistemas y navegadores: Suministrar los dispositivos actualizados reduce la exposición a vulnerabilidades conocidas.
2. Prestar atención a señales sospechosas: Captchas inusuales, ventanas emergentes inesperadas o ordenanza que piden un doble clic pueden ser indicativos de un posible ataque.
3. Evitar clics apresurados: Observar detenidamente los mensajes de confirmación y evitar dobles clics innecesarios.

Para desarrolladores y empresas

1. Implementar defensas en la interfaz de beneficiario: Deshabilitar ordenanza críticos hasta que el beneficiario realice gestos intencionados, como mover el ratón o usar el teclado.
2. Añadir scripts defensivos: Cualquier página que maneje autorizaciones sensibles, como pagos o autenticaciones, debería incluir scripts que dificulten el intercambio de ventanas por parte de los atacantes.
3. Promover estándares de seguridad en los navegadores: A abundante plazo, los navegadores deberán actualizarse para incluir protecciones nativas contra este tipo de ataques.

Imagen | Marcos Merino mediante IA

En Genbeta | Todo el mundo usa Bing para agenciárselas 'Google'. Así que Microsoft ha decidido engañarnos para que pensemos que ya estamos en Google