S M A R T C O M P U T I N G

¡Por favor, espera!

+34 91 005 48 68 +34 682 49 11 93 info@smartcomputing.es

Double Clickjacking: Un clic no es suficiente para engañarte - Smart Computing

¿Sabes lo que es el Secuestro de Clics, también conocido como Clickjacking? Pues ahora hay una nueva técnica, el secuestro de doble clic. Aprende como protegerte en nuestro blog.

Double Clickjacking: Un clic no es suficiente para engañarte

10 de enero de 2025 Borja Monje Comments Off

¿Te has topado alguna vez con páginas que te hacen dar clic sin saber muy bien por qué? Eso se llama clickjacking, o “secuestro de clics”.

¿Y si te dijera que ahora hay una forma más engañosa en la que te piden no uno, sino dos clics? Así nace el Double Clickjacking.

En este artículo sobre ciberseguridad, te explicaremos exactamente en qué consiste, cómo funciona y, sobre todo, cómo protegerte de esta trampa moderna.

1. ¿Qué es el temido "Secuestro de Clics"?

El clickjacking es una técnica donde, por ejemplo, crees que le estás dando clic a un botón de “Me Gusta” en una red social, pero detrás de escena en realidad estás suscribiéndote a un canal sospechoso o dando tu información personal a quien no debes. 

Ahora, con el Double Clickjacking, el engaño va un paso más allá:

  1. Primer clic: Te presentan un botoncito o enlace que parece legítimo (ej. “Confirmar”).
  2. Segundo clic: Justo cuando crees que todo es normal y das el segundo clic, ¡zas! Has hecho lo que el atacante quería, como aceptar una compra, enviar tus datos o incluso “regalar” acceso a tu cuenta, lo que trae funestos resultados.

2. ¿Qué lo hace más peligroso que el Clickjacking normal?

  • Más disfraz: La gente está ya acostumbrada y por lo tanto, un poco más alerta a los clics dudosos, pero un segundo clic en un intervalo de tiempo, suele pasar desapercibido.
  • Proceso más creíble: Con dos pasos, parece una confirmación genuina, lo que da la falsa ilusión de que “esto debe ser oficial”.
  • Más difícil de detectar: Muchas herramientas de seguridad se enfocan en un solo clic. El doble clic pasa a veces bajo el radar.

3. Ejemplos divertidos (o no tanto) de Double Clickjacking

Pero lo realmente peligroso y, efectivamente no tan divertido, es lo que genera esta táctica de secuestro de clics.  A continuación, te vamos a ofrecer unos ejemplos, para que, con cierta sorna, puedas ver a lo que nos referimos:

1. Compras en línea:

Haces clic en “Comprar ahora”. Te aparece un mensaje de “¿Estás seguro?”. Al confirmar, sin saberlo, adquieres algo carísimo o compras 10 veces el mismo producto.

2. Redes sociales:

Das clic en “Seguir” a esa persona que te hace tilín. El segundo clic, que se supone que es para confirmar, te hace publicar un enlace malicioso en tu perfil y de pronto te conviertes en un foco de infección de malware.

3. Ajustes de cuenta:

Quieres cambiar tu foto de perfil en una web, y das tu primer clic. El segundo se encarga de modificar tu contraseña y tu correo de recuperación sin que te des cuenta.

¿Cuáles son los riesgos reales?

  • Robo de credenciales: Puedes acabar compartiendo tu usuario y contraseña (o tokens de acceso) en el segundo clic.
  • Transacciones ilegítimas: Imagínate ver cargos en tu tarjeta por compras que no realizaste… No es plato de buen gusto para nadie.
  • Pérdida de reputación: Tu perfil podría difundir spam o enlaces peligrosos y, claro, al final te conviertes en el responsable de algún otro riesgo mayor que le pueda suceder a tus allegados.
  • Cambios de configuración: Pequeños clics que desactivan tu firewall o instalan software dudoso sin que lo notes, que abriría la puerta a malware mucho más dañino.

4. ¿Cómo protegerte del secuestro de clics?

  1. Encabezados de Seguridad (o “letreros de ‘No pasar’ en tu sitio web”)
  • X-Frame-Options
    Piensa en esto como un cartel de “Prohibido entrar” que colocas en tu página. Al ponerlo en “DENY” o “SAMEORIGIN”, evitas que otras páginas puedan “incrustar” (o sea, meter dentro de un recuadro, llamado iframe) tu sitio sin tu permiso. ¿Por qué es importante? Porque los hackers suelen usar ese “truco” de meter tu página dentro de otra para engañar a la gente y robar clics.
  • Content-Security-Policy (CSP)
    Imagina que tienes un guardia que decide qué archivos, imágenes o scripts pueden entrar en tu página y desde dónde vienen. Eso es CSP. Te ayuda a limitar qué contenido se puede cargar y así impedir que aparezcan cosas peligrosas de sitios que no son de confianza.
  1. Tokens Anti-CSRF (el “código secreto” en tus formularios)

¿Has visto esas películas donde alguien tiene que decir la palabra clave para pasar? Los tokens Anti-CSRF son algo parecido: un código único que se incluye cada vez que alguien hace una acción importante en tu web (por ejemplo, cambiar la contraseña o hacer una compra). Así, tu página se asegura de que quien está haciendo clic sea la persona correcta y no un hacker que trata de hacerlo desde otra parte.

  1. Diseño de interfaz claro (evitemos confusiones)

Si realmente necesitas que la gente dé dos clics en tu sitio (por ejemplo, primero para ver un detalle y luego para confirmarlo), díselo de forma directa y fácil de entender. Mensajes como “Haz clic aquí para revisar” y luego “Haz clic aquí para confirmar” dejan menos lugar a confusiones. Lo importante es que el usuario sepa exactamente qué está pasando en cada paso, sin trucos ni ventanitas engañosas y con una aventura tranquila para tu consumidor.

  1. Monitoreo continuo (mantén un ojo en tu sitio)

Imagina que tienes un vigilante revisando de vez en cuando qué ocurre en tu página:

  • Verifica tus registros (logs): Son como el historial de todo lo que pasa (compras, inicios de sesión, clics relevantes). Si de pronto ves cien compras seguidas en menos de un minuto, algo raro está pasando.
  • Observa el tráfico: Si notas muchas peticiones sospechosas o cambios repentinos en tu configuración, investiga antes de que se convierta en un problema mayor.

Con estas medidas, estarás dando un gran paso para evitar que los tramposos usen el Double Clickjacking (o cualquier otra forma de engaño) en tu sitio web. Lo más importante es que, como propietario o usuario, te mantengas atento y no subestimes la importancia de proteger tus datos y los de los demás.

5. Recapitulemos

La moraleja: Ojo con lo que clicas. Si bien el secuestro de clics tradicional ya era de temer, ahora con Double Clickjacking nos encontramos frente a un truco de doble filo (o doble clic).

Asegúrate de poner los mecanismos de seguridad adecuados en tu sitio, y como usuario, mantente siempre alerta. Dar un clic o dos puede parecer un gesto inofensivo, pero a veces un par de clics pueden costarnos muy caro.

Como expertos en ciberseguridad, desde Smart Computing podemos ayudarte. Contacta con nosotros para organizar una asesoría completa de tu entorno digital.

En Smart Computing podemos defenderte de cualquier amenaza de ciberseguridad.

Categorías

Calendario

febrero 2026
L M X J V S D
 1
2345678
9101112131415
16171819202122
232425262728  

G&G Smart Computing

Contacto

Plaza del Doctor Laguna, 12

682 49 11 93 // 91 005 48 68

info@smartcomputing.es

Atendemos 24 h

Copyright © G&G Smart Computing