En el mundo digital que usted, como responsable de una empresa o profesional de TI, enfrenta cada día, aparece una nueva modalidad de ataque que exige atención inmediata: el “double-clickjacking”. Imagine que un usuario de su organización realiza lo que considera un doble clic inofensivo, quizás para resolver un captcha o autorizar una acción rutinaria, y en esa brevedad su entorno web aprovecha el momento para ejecutar una acción maliciosa: transferir fondos, autorizar una aplicación OAuth, cambiar permisos. Esa posibilidad ya no es solo teórica. Como fundador de TODO EN UNO.NET, con más de 30 años de experiencia en transformación digital, automatización y cumplimiento, he visto evolucionar los riesgos y también las defensas. En este blog le explico en qué consiste este ataque, por qué debe preocuparse hoy en Colombia y Latinoamérica, y cómo puede proteger su empresa con enfoque funcional y estratégico.
👉 LEE NUESTRO BLOG porque la seguridad debe ser tan funcional como sus procesos.
En términos prácticos, las etapas suelen ser: el usuario realiza un primer clic en una interfaz aparentemente legítima (un botón “Verificar”, “Continuar”), aparece un overlay o ventana secundaria que solicita el segundo clic, mientras el atacante aprovecha para redirigir el foco a una acción sensible, de modo que el segundo clic autoriza indebidamente algo en el sitio legítimo.
En Colombia, muchas empresas todavía se concentran en ataques tradicionales (phishing, ransomware, vulnerabilidades de red), y si bien eso sigue siendo crítico, este vector exige que el modelo de protección se adapte al entorno web moderno, aplicaciones móviles y procesos de negocio automatizados. Las plataformas de comercio electrónico, los portales de clientes, la integración de aplicaciones OAuth, extensiones del navegador, automatizaciones de terceros y microservicios web representan superficies delicadas. Según los informes más recientes, el doble clic ha sido utilizado incluso para autorizar extensiones de navegador maliciosas, para interceptar flujos de trabajo “sin darse cuenta” del usuario, o para conceder permisos excesivos a APIs.
Desde un análisis estratégico, conviene evaluar cómo este tipo de ataque impacta tres dimensiones clave: identidad y acceso, automatización de procesos y cumplimiento normativo. En primera instancia, la autorización inadvertida de una aplicación (OAuth, microservicio, extensión) compromete la identidad: ocurre un takeover o se amplían privilegios sin que el usuario realmente lo note. Esto acelera exfiltración de datos, cambios de configuración, incluso fraude. En segunda instancia, cuando procesos automatizados (workflow, aprobaciones, integraciones) permiten este tipo de clics, el atacante puede desencadenar acciones sin supervisión y saltarse controles manuales. En tercera instancia, desde la perspectiva de cumplimiento, en Colombia se aplica la Ley 1581 de 2012 (protección de datos personales) y normativa relacionada, así como buenas prácticas de gestión de riesgos y continuidad. Una vulnerabilidad de este tipo que derive en acceso no autorizado puede representar incumplimiento, sanciones regulatorias, pérdida de reputación… lo cual es especialmente relevante en un entorno en el que la transformación digital debe ir de la mano con la responsabilidad y el cumplimiento.
Veamos un ejemplo realista adaptado al contexto latinoamericano. Supongamos una empresa de servicios financieros en Colombia que ha implementado un portal cliente con botón “Verificar documento” que solicita doble clic para completar la acción (por ejemplo “Click para generar OTP”). Un atacante configura un dominio atractivo, lanza una campaña de mensaje a clientes simulando un beneficio. El usuario hace clic para “obtener su premio”. El primer clic aparece normal; en el momento que se le pide el segundo clic, el atacante ha redirigido detrás de la escena el flujo hacia una autorización de aplicación OAuth en la cuenta del cliente (o hacia un módulo oculto de transacción). El segundo clic autoriza la aplicación maliciosa. Resultado: el atacante obtiene acceso, puede extraer datos y ejecutar acciones en nombre del cliente, sin ninguna sombra de sospecha inmediata. Este escenario, aunque simplificado, es perfectamente viable según los reportes.
Desde la óptica de innovación con propósito, la pregunta que debemos hacernos no es solo “¿tenemos clickjacking protegido?”, sino “¿estamos preparados para la nueva generación de interacción que los usuarios realizan?”, “¿nuestros flujos digitales, automatizaciones y accesos se consideran dentro del diseño del riesgo?”. Así es como en TODO EN UNO.NET modelamos la protección: como parte del flujo funcional, no como una capa de parche al final. En ese sentido, aquí algunas acciones que recomiendo instalar en su compañía (y que integran estrategias tecnológicas, humanos y procesos):
Primero, realizar un mapeo de todos los puntos de entrada y autorización en su entorno digital: botones de doble clic, prompts de verificación, flujos de aprobación que permiten dos o más clics, extensiones de navegador, acceso OAuth y APIs expuestas. Es necesario detectar dónde puede ocurrir un “momento de duda” entre clics. Segundo, implementar controles de interface que obliguen a la consciencia del usuario: por ejemplo, deshabilitar botones críticos hasta que se detecte un movimiento del ratón o una interacción de teclado, introducir un pequeño retraso intencionado entre clics críticos, monitorear cambios de contexto entre clics (ventana madre/hija) y bloquear redireccionamientos inesperados. Este tipo de controles ya se mencionan como mejoras frente al doubleclickjacking.
Tercero, revisar y endurecer las políticas de clickjacking en su plataforma web: asegurar que los entornos sensibles no puedan ser incrustados (X-Frame-Options, CSP frame-ancestors), pero también reconocer que este nuevo vector va más allá de iframes, y por lo tanto debemos revisar actividad de UI, eventos y ventanas emergentes. Cuarto, educar a sus usuarios y equipos internos: comunicar que los botones que solicitan doble clic o acciones aparentemente inocuas pueden ser trampas, que no sólo se trata de phishing tradicional, sino de manipulación de interfaz, y que la supervisión, el escepticismo digital y los controles de usuario consciente son parte de la protección. Quinto, incorporar monitoreo y detección: alertas ante redirecciones entre ventanas, autorizaciones de aplicaciones poco comunes, instalación silenciosa de extensiones del navegador, nuevas integraciones OAuth sin visibilidad. Este enfoque de “exposición de superficie digital” es parte de una visión de transformación – la misma que promovemos para 2026–2030 en TODO EN UNO.NET, donde la funcionalidad de la tecnología se alinea con la seguridad, la automatización y el cumplimiento normativo.
Al adoptar estas medidas usted no solo reduce el riesgo del ataque concreto, sino que fortalece su arquitectura empresarial digital, generando confianza en sus clientes y colaboradores, y al mismo tiempo mejorando la resiliencia frente a futuros vectores que emergen con rapidez. Como consultor he observado que las empresas que integran la seguridad como parte del flujo funcional —no como un elemento añadido al final— obtienen mejores resultados, mayor agilidad y menos brechas costosas.
A medida que avanza el año 2025 y nos proyectamos hacia el ciclo 2026–2030 de transformación digital, conviene recordar que los ataques también evolucionan: nuevos dispositivos móviles, nuevas tecnologías de interacción (doble clic, gestos táctiles, voz), nuevas integraciones (IA, bots, API abiertas) generan nuevas superficies de riesgo. El double-clickjacking es un ejemplo temprano de esa evolución. Su empresa debe estar preparada no sólo para reaccionar, sino para anticiparse, generando procesos de revisión continua y mejora, y adoptando una cultura digital de prevención y funcionalidad.
📅 Cuando nos enfocamos en la funcionalidad de la tecnología —que es la forma en que en TODO EN UNO.NET vivimos nuestro propósito— no permitimos que la seguridad, la automatización o el cumplimiento queden como silos separados. En este sentido, si desea revisar cómo implementar un plan de seguridad para aplicaciones web, evaluar sus flujos de clics críticos, diagnosticar su superficie digital y automatizar controles de interacción con enfoque en cumplimiento y transformación, estaré encantado de acompañarle personalmente. Puede agendar aquí, sin compromisos, una conversación con uno de nuestros especialistas en automatización, tecnología y cumplimiento.