Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
254
)
-
▼
enero
(Total:
165
)
-
Inteligencia artificial, TOPs y tokens
-
uBlock Origin dejará de funcionar en Chrome
-
Francia tenía su propia IA para competir con ChatG...
-
México pide en una carta a Google corregir lo que ...
-
GPU AMD RX 7900 XTX supera a la NVIDIA RTX 4090 en...
-
El FBI cierra los dominios de los foros de pirater...
-
DeepSeek sufre una filtración de datos
-
Actualizaciones de seguridad críticas para iPhone,...
-
Parece un inocente PDF, pero es una estafa bancari...
-
DeepSeek tendrá un clon «100% abierto» desarrollad...
-
¿Qué son los tokens en el contexto de los LLM?
-
¿Qué es el destilado de una LLM?
-
Se saltan el sistema de cifrado BitLocker de Windo...
-
Facebook bloquea cualquier tema de Linux de Distro...
-
Ramsomware Makop y Lynx
-
NVIDIA pide explicaciones a Super Micro por vender...
-
Investigadores canadienses afirman que un ajuste d...
-
Vulnerabilidad crítica en Cacti (SNMP)
-
FARM discos duros Seagate
-
DeepSeek habría sido entrenada con datos robados a...
-
Alibaba presenta Qwen2.5-Max, su poderosa IA
-
Huawei dice tener un chip para IA igual de potente...
-
El fabricante de móviles Oppo es víctima de una gr...
-
DeepSeek puede crear malware para robar tarjetas d...
-
Historia del fabricante Asus
-
Instalar DeepSeek (destilado) con Ollama en tu ord...
-
Lossless Scaling: ¿Qué es y cómo funciona?
-
Una hora de anuncios para ver un simple vídeo de Y...
-
Herramientas gratuitas para transcribir de audio a...
-
OpenAI Operator: el agente de IA que automatiza ta...
-
DeepSeek Janus-Pro-7B, otro modelo de IA multimoda...
-
DeepSeek es víctima de un ataque DDoS
-
NVIDIA DLSS 4 (Tecnología de Escalado de nvidia)
-
Sony abandona los discos Blu-Ray grabables, MiniDi...
-
Vulnerabilidad en el framework Llama Stack de Meta...
-
PayPal pagará 2 millones de dólares por la filtrac...
-
DeepSeek, la herramienta china que revoluciona la ...
-
119 vulnerabilidades de seguridad en implementacio...
-
Cómo bloquear y demorar bots IA de Scraping web
-
Oracle, en negociaciones con ByteDance para compra...
-
Descubren que Elon Musk hacía trampas en los juego...
-
Por ser cliente de Movistar en España tienes grati...
-
HDMI 2.2 VS DisplayPort 2.1
-
Filtrados datos personales de asegurados de Asisa
-
Los fallos que cometió Ulbricht para ser detenido:...
-
Instagram desata las críticas de los usuarios espa...
-
Donald Trump indulta a Ross Ulbricht, creador del ...
-
Alia, la IA del Gobierno Español, es un desastre: ...
-
Stargate, un proyecto de Estados Unidos para inver...
-
Ataques del ransomware BlackBasta mediante Microso...
-
El mayor ataque DDoS registrado alcanzó 5,6Tb/s me...
-
Tras el éxito de Doom en documentos PDF, ahora tam...
-
Cae una banda de ciberestafadores que enviaba hast...
-
Cómo desactivar el Antimalware Service Executable ...
-
Herramienta Restablecer Windows
-
Seagate llega a los 36 TB con sus nuevos discos du...
-
YST (‘Yo soy tú’, como se autodenominó irónicament...
-
¿Qué es la pipeline?
-
Una chica de 28 años se enamora de ChatGPT
-
Copilot+ ya permite la búsqueda local
-
DORA: la normativa europea que obliga a los bancos...
-
Apple desactiva funciones de Apple Intelligence po...
-
La empresa de hosting GoDaddy, obligada a reforzar...
-
Domina los ficheros PDF con dos servicios Docker
-
OpenAI desarrolla una IA para prolongar la vida hu...
-
TikTok cierra en Estados Unidos
-
Vulnerabilidad permite eludir UEFI Secure Boot
-
Normativa Drones España 2025
-
Robados los datos personales de 97.000 aspirantes ...
-
¿Cómo volar un dron de noche? Esta es la normativa...
-
Expuestas 15.000 configuraciones robadas de FortiG...
-
Filtración masiva en China expone 1.500 millones d...
-
Un ciberataque expone la identidad de 160.000 guar...
-
La Policía de España advierte sobre una nueva técn...
-
Microsoft estrena protección del administrador de ...
-
Windows 11 con sólo 184 MB de RAM
-
Evilginx 3 para ataques man-in-the-middle mediante...
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
-
▼
enero
(Total:
165
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Gracias a un nuevo método de activación permanente, han conseguido eludir por completo el sistema de protección de derechos digitales (DRM) ... -
Docker destaca por su compatibilidad entre sistemas. Las máquinas virtuales o la virtualización de hardware clásica emulan un sistema oper... -
Trucos de Telegram que, posiblemente, no conocías. De hecho, muchas de estas funciones no están estrictamente relacionadas con el objetiv...
DoubleClickjacking: la nueva amenaza de los dobles clics para secuestras cuentas
Nueva amenaza en el horizonte y una de las ciberamenazas que más darán que hablar en 2025. ¿Conoces qué es el DoubleClickjacking? Se trata de una variante reciente del ataque conocido como clickjacking, que explota la acción de dobles clics del usuario para ejecutar acciones no deseadas, como el secuestro de cuentas online.
Este método permite a los atacantes sortear las medidas de seguridad implementadas en navegadores y sitios web, poniendo en riesgo la información personal y la integridad de las cuentas de los usuarios.
Así actúa el DoubleClickjacking
El doubleclickjacking, o «secuestro de clics», es una técnica de ataque en la que un usuario es engañado para hacer clic en elementos de una página web que están ocultos o disfrazados, realizando acciones que no tenía intención de ejecutar.
Esto se logra mediante la superposición de elementos invisibles (como iframes) sobre botones o enlaces legítimos, de modo que el usuario, al interactuar con la página, activa funciones maliciosas sin saberlo.
El DoubleClickjacking lleva esta técnica un paso más allá al aprovechar la acción de doble clic, común en la navegación web.
Los atacantes crean páginas web maliciosas que simulan ser legítimas, incitando al usuario a realizar un doble clic en un elemento atractivo, como un botón de descarga o un enlace interesante.
Al hacerlo, el primer clic puede desencadenar una acción visible e inofensiva, mientras que el segundo clic, mediante la manipulación de la interfaz, activa una función oculta y potencialmente peligrosa.
Por ejemplo, el primer clic podría mostrar una imagen o iniciar una animación, distrayendo al usuario, mientras que el segundo clic, realizado en una fracción de segundo, interactúa con un elemento invisible que autoriza permisos, cambia configuraciones de seguridad o incluso concede acceso a cuentas personales.
El DoubleClickjacking utiliza una ventana superpuesta que engaña al usuario durante un doble clic. Esto es posible gracias a una vulnerabilidad en los tiempos de gestión de eventos entre el primer clic (mousedown) y el segundo clic (onclick). El ataque sigue un flujo específico:
- El usuario visita un sitio malicioso que abre una ventana aparentemente inocua, por ejemplo, una verificación Captcha.
- Durante el primer clic, la ventana maliciosa se cierra o cambia, revelando una página sensible, como una solicitud de autorización OAuth.
- El segundo clic cae sobre un elemento sensible en la ventana subyacente, autorizando inconscientemente el acceso a una aplicación maliciosa.
Esta técnica permite a los atacantes sortear protecciones como X-Frame-Options, cookies SameSite y Content Security Policies, que son ineficaces contra esta nueva forma de manipulación de la interfaz de usuario.
Implicaciones de seguridad
Las potenciales aplicaciones del DoubleClickjacking incluyen:
- Compromiso de OAuth: Autorización no intencional de apps maliciosas con acceso completo a los datos del usuario.
- Cambios en las cuentas: Desactivación de las configuraciones de seguridad, transferencias de dinero o eliminación de cuentas.
- Ataques en extensiones de navegador: Manipulación de carteras criptográficas y desactivación de VPN.
La simplicidad de ejecución, combinada con la ineficacia de las defensas existentes, hace del DoubleClickjacking una amenaza peligrosa para todos los sitios web y las aplicaciones modernas.
Los riesgos asociados al DoubleClickjacking
Los ataques de DoubleClickjacking pueden tener consecuencias graves para la seguridad del usuario, pero sobre todo estos tres peligros concretos.
Secuestro de cuentas. Los atacantes pueden obtener acceso no autorizado a cuentas personales, como redes sociales, correos electrónicos o servicios financieros, aprovechando la interacción inadvertida del usuario.
Robo de información sensible. Al manipular al usuario para que otorgue permisos o comparta datos confidenciales, los ciberdelincuentes pueden recopilar información valiosa para actividades fraudulentas.
Instalación de malware. El doble clic puede desencadenar la descarga e instalación de software malicioso en el dispositivo del usuario, comprometiendo su seguridad y privacidad.
Medidas de protección contra el DoubleClickjacking
Para mitigar los riesgos asociados con el DoubleClickjacking, desde Bitlifemedia recomendamos llevar a la práctica estas cinco medidas de protección.
Implementación de Políticas de Seguridad de Contenido (CSP). Configurar políticas que restrinjan la carga de contenido en iframes desde dominios no autorizados puede prevenir la superposición de elementos maliciosos.
Uso de encabezados HTTP de seguridad. Incluir encabezados como X-Frame-Options con el valor DENY o SAMEORIGIN impide que otros sitios web incrusten la página en un iframe, bloqueando intentos de clickjacking.
Educación del usuario. Informar a los usuarios sobre los riesgos de hacer clic en enlaces o botones de fuentes no confiables y fomentar prácticas de navegación segura puede reducir la efectividad de estos ataques.
Actualización constante de software. Mantener navegadores y sistemas operativos actualizados garantiza la aplicación de los últimos parches de seguridad que abordan vulnerabilidades conocidas.
Monitoreo y análisis de tráfico web. Implementar herramientas que detecten comportamientos anómalos en la interacción del usuario con la página puede ayudar a identificar y bloquear intentos de DoubleClickjacking.
El DoubleClickjacking representa una evolución sofisticada de las técnicas de clickjacking en 2025, explotando acciones comunes de los usuarios para llevar a cabo actividades maliciosas.
Por ello, es importante que desarrolladores y usuarios permanezcan vigilantes y adopten medidas proactivas para protegerse contra este tipo de amenazas, garantizando una experiencia en línea segura y confiable.
Estrategias de mitigación
- Protección lado cliente:
Una solución JavaScript eficaz consiste en deshabilitar los botones críticos por defecto, habilitándolos solo después de interacciones intencionales del usuario, como movimientos del ratón o pulsaciones del teclado. Este enfoque reduce drásticamente el riesgo de clics no auténticos.
(function(){
if (window.matchMedia && window.matchMedia("(hover: hover)").matches) {
var buttons = document.querySelectorAll('form button, form input[type="submit"]');
buttons.forEach(button => button.disabled = true);
function enableButtons() {
buttons.forEach(button => button.disabled = false);
}
document.addEventListener("mousemove", enableButtons);
document.addEventListener("keydown", e => {
if (e.key === "Tab") enableButtons();
});
}
})();
- Propuestas de protección lado navegador:
Los
desarrolladores de navegadores podrían implementar nuevos estándares,
como un encabezado HTTP específico, para limitar los cambios de contexto
durante una secuencia de doble clic. Una idea podría ser: Double-Click-Protection: strict
El DoubleClickjacking representa una nueva frontera en los ataques web. Su capacidad para eludir las defensas tradicionales destaca la urgencia de estrategias de mitigación a nivel cliente y navegador. Desarrolladores y equipos de seguridad deben afrontar esta amenaza con atención para proteger a los usuarios de comprometimiento potencialmente devastadores.
Fuentes:
https://bitlifemedia.com/2025/01/doubleclickjacking-amenaza-dobles-clics-secuestrar-cuenta/
https://www.paulosyibelo.com/2024/12/doubleclickjacking-what.html
https://esgeeks.com/doubleclickjacking-funcionamiento-mitigacion/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.