DoubleClickjacking: Cómo un nuevo ciberataque apunta a las interacciones del usuario

La experta en ciberseguridad Pablos Yibelo ha anunciado hoy el DoubleClickjacking, un ataque web que aprovecha el tiempo de doble clic para engañar a los usuarios y hacer que ejecuten acciones sensibles en los sitios web.

Pablos Yibelo explica que la técnica de DoubleClickjacking se expande sobre la conocida técnica de “clickjacking“. Este ataque manipula las interacciones de la interfaz de usuario para eludir protecciones como los encabezados de X-Frame-Options y las cookies de SameSite, pudiendo afectar potencialmente a una amplia gama de sitios web.

Yibelo explica que el DoubleClickjacking funciona explotando el tiempo entre dos clics en una secuencia de doble clic. El ataque normalmente comienza con un usuario interactuando con una página web que abre una nueva ventana o muestra un aviso.

El primer clic cierra la ventana recién abierta, revelando una página de acción sensible, como una pantalla de autorización OAuth, en la ventana original del navegador. El segundo clic luego autoriza involuntariamente una acción maliciosa o concede acceso a aplicaciones no autorizadas.

Este método se aprovecha del breve retraso entre los eventos de “mousedown” y “click”, eludiendo las medidas de seguridad tradicionales. Su impacto es considerable, permitiendo a los atacantes realizar acciones como obtener acceso a cuentas, modificar configuraciones o llevar a cabo transacciones no autorizadas, dice Yibelo.

Muchas plataformas que utilizan OAuth para la autenticación son particularmente vulnerables, ya que los atacantes pueden explotar este método para obtener permisos extensos en las cuentas de los usuarios.

Los riesgos se extienden más allá de los sitios web, con extensiones de navegador y aplicaciones móviles también susceptibles. Los ejemplos incluyen escenarios donde las billeteras de criptomonedas o las configuraciones de VPN podrían ser manipuladas sin el conocimiento del usuario, como señaló Yibelo.

Aquí Yibelo da un ejemplo de la toma de control de una cuenta de Slack:

La sencillez del ataque, que solo requiere un doble clic, lo hace difícil de detectar y prevenir. Para mitigar los riesgos, Yibelo dice que los desarrolladores pueden implementar protecciones basadas en JavaScript que desactivan botones críticos hasta que se detecten acciones de usuario intencionadas, como movimientos del ratón o entrada de teclado.

Yibelo afirma que este enfoque agrega una capa de verificación, garantizando que las acciones sensibles no pueden ocurrir sin la participación deliberada del usuario. Con el tiempo, los desarrolladores de navegadores pueden adoptar soluciones más robustas, como la introducción de encabezados HTTP especializados para prevenir el cambio de contexto durante las interacciones de doble clic.

DoubleClickjacking resalta los desafíos en constante evolución en la seguridad web. Al explotar patrones menores de interacción del usuario, subraya la necesidad de actualizaciones continuas de las prácticas y protecciones de seguridad.