Per al 2025, el “DoubleClickjacking” es perfila com una de les amenaces més grans per a la seguretat digital personal i corporativa.

Aquest nou atac combina tècniques avançades d’enginyeria social amb explotadors tecnològics, i posa en perill fins i tot els usuaris més cautelosos.

Què és el DoubleClickjacking?

El DoubleClickjacking és una evolució del clickjacking tradicional, una tècnica en què els atacants superposen elements invisibles o enganyosos en una pàgina web legítima per enganyar els usuaris i fer que facin accions no intencionades, com compartir dades confidencials o concedir permisos perillosos.

En la versió doble, els atacants fan servir dues capes d’engany: primer atrauen la víctima amb un esquer aparentment innocent, i després executen un atac secundari més sofisticat que explota permisos atorgats de manera inadvertida.

Per exemple, un usuari podria ser convidat a fer clic en un botó per tancar una finestra emergent molesta. En aquest procés, l’atacant podria activar una ordre que habiliti l’accés a la càmera, el micròfon o informació bancària sense que l’usuari ho percebi.

Com funciona el DoubleClickjacking

Aquest atac es basa en dos factors principals: la confiança de l’usuari en interfícies conegudes i l’ús de tecnologies emergents com els marcs de realitat augmentada (AR) o entorns de treball virtuals. A continuació, es detalla el procés típic:

Engany inicial

Un usuari interactua amb un element aparentment legítim, com ara un anunci o un botó de tancar.

Acció secundària invisible

Al mateix clic, però de manera oculta, s’activa un script que concedeix permisos crítics o redirigeix ​​l’usuari a una pàgina compromesa.

Explotació de dades

Un cop concedit l’accés, els atacants poden robar credencials, instal·lar codi maliciós o fins i tot segrestar comptes en temps real.

El que fa que el DoubleClickjacking sigui tan preocupant és que, en molts casos, les víctimes no són conscients de l’atac fins que el mal ja està fet.

Per què el DoubleClickjacking és tan perillós

El DoubleClickjacking representa una amenaça multifacètica perquè combina enginyeria social avançada i vulnerabilitats tècniques. Entre les seves característiques destaca la naturalesa invisible de l’atac, que dificulta que els usuaris detectin que alguna cosa va malament.

Funciona tant en dispositius mòbils com en ordinadors, cosa que amplia el seu abast. A més, els scripts maliciosos poden adaptar-se en temps real a diferents navegadors, sistemes operatius i resolucions de pantalla, i en maximitzen l’efectivitat. I, a sobre, amb l’apogeu de l’Internet de les coses (IoT), un sol clic pot comprometre no només un dispositiu, sinó tota una xarxa domèstica o empresarial.

La ciberseguretat en dificultats

El DoubleClickjacking planteja reptes significatius per a la ciberseguretat personal i empresarial. Per al 2025, s’espera que els atacs siguin més sofisticats, i que aprofitin avenços en intel·ligència artificial (IA) per personalitzar ciberatacs i evadir sistemes de detecció.

L’accés a comptes bancaris i aplicacions financeres és al punt de mira. Amb només un clic, els atacants podrien drenar comptes o fer transaccions fraudulentes.

També destaca la possibilitat d’activar càmeres i micròfons sense consentiment, cosa que representa un risc directe per a la privadesa, especialment en un món on el teletreball continua sent prevalent.

Les organitzacions s’enfronten al perill de fugues de dades confidencials i sabotatges en sistemes crítics, cosa que pot causar pèrdues milionàries.

Com protegir-se del DoubleClickjacking

Si bé el panorama sembla ombrívol, hi ha mesures clau que els usuaris i les organitzacions poden prendre per mitigar el risc:

Ús de navegadors i programari actualitzats

Les actualitzacions de seguretat són essencials per tancar vulnerabilitats explotades pels atacants.

Extensions de navegador fiables

Eines com a bloquejadors de scripts o detectors de clickjacking poden oferir una primera línia de defensa.

Compte amb els permisos

És fonamental revisar i limitar els permisos atorgats a aplicacions i serveis, especialment aquells que sol·liciten accés a càmera, micròfon o ubicació.

Educació contínua

La formació en ciberseguretat per a empleats i usuaris és crucial per identificar possibles amenaces i evitar interaccions perilloses.

Autenticació de dos factors (2FA)

Tot i que no evita directament el DoubleClickjacking, afegiu una capa de protecció per evitar accessos no autoritzats.

El paper de les autoritats i la indústria tecnològica

La lluita contra el DoubleClickjacking no pot recaure únicament en els usuaris. Les autoritats i les empreses tecnològiques tenen un rol fonamental en el desenvolupament de solucions preventives i la creació de consciència.

Els governs han d’establir normes per obligar les empreses a adoptar estàndards de seguretat més sòlids a les seves plataformes. I, a més, la ciberseguretat requereix cooperació internacional, atès que les amenaces no reconeixen fronteres.

La intel·ligència artificial també es pot utilitzar per identificar patrons de DoubleClickjacking en temps real.