ClickFix: la estrategia que burla antivirus para distribuir malware
Una técnica de ingeniería social que simula errores técnicos para ejecutar malware sin levantar sospechas
¿Qué es ClickFix?
ClickFix es una técnica de ciberataque basada en ingeniería social, que engaña a las personas usuarias mediante falsas alertas del navegador para que, sin saberlo, ejecuten malware en sus equipos.
Lo más preocupante es que esta amenaza no requiere que la víctima descargue ni instale archivos: todo se ejecuta a través de comandos manipulados que el usuario introduce voluntariamente, convencido de estar resolviendo un problema técnico.
¿Cómo funciona el engaño?
El ataque se desarrolla en pocos pasos:
- El usuario accede a una web legítima que ha sido comprometida por cibercriminales.
- Aparece una ventana emergente falsa que informa sobre un problema (por ejemplo, un fallo del navegador, error en Zoom o necesidad de actualizar el sistema).
- Se muestra un botón: Fix It, Solve, Click to continue o similar.
- La víctima sigue instrucciones como:
- Copiar un código “de solución”.
- Pulsar Win + R (abrir Ejecutar).
- Pegar el código con Ctrl + V.
- Presionar Enter.
En realidad, el usuario ejecuta un script malicioso que descarga e instala malware (como Vidar, Lumma o DarkGate), sin notarlo. Todo ocurre en segundo plano y muchas veces en memoria, por lo que no deja rastros evidentes ni activa antivirus tradicionales.
¿Por qué funciona tan bien?
ClickFix explota un factor clave: la confianza del usuario en las alertas del navegador y su urgencia por resolver un problema. Al presentarse como una advertencia técnica legítima, muchas personas, incluso en entornos profesionales, siguen los pasos sin cuestionarlos.
Este tipo de ataque ha demostrado una alta tasa de éxito en entornos corporativos donde los equipos de trabajo están expuestos a múltiples herramientas, plataformas y documentos online.
¿Cómo se propaga?
ClickFix utiliza canales variados para llegar a sus víctimas:
- Sitios web comprometidos: webs legítimas con plugins o scripts maliciosos añadidos.
- Páginas falsas: que imitan interfaces de Google, Zoom, Facebook, etc.
- Campañas en redes sociales: como videos de TikTok que prometen funciones premium o desbloqueos falsos.
- Correos de phishing: con enlaces a sitios que activan la trampa.
Los atacantes incluso usan verificaciones falsas de CAPTCHA o Cloudflare para parecer aún más convincentes.
Casos reales en América Latina
- Chile: páginas de universidades comprometidas que inducen al usuario a ejecutar scripts.
- Perú: el sitio oficial del Fondo de Vivienda Policial fue utilizado para distribuir malware.
- Argentina, México, Colombia y Brasil: también han registrado campañas activas según informes de especialistas en ciberseguridad.
¿Cómo proteger a tu empresa?
Formación del personal
- Capacita a tus equipos sobre amenazas actuales de ingeniería social.
- Enseña a no ejecutar instrucciones desconocidas en el sistema, por más legítimas que parezcan.
Control técnico
- Restringe el uso de PowerShell y privilegios de administrador en equipos no autorizados.
- Usa soluciones EDR y antimalware avanzadas, que detecten comportamientos sospechosos.
Navegación segura
- Emplea navegadores corporativos con políticas de seguridad configuradas.
- Bloquea scripts sospechosos y páginas maliciosas con filtros web, utilizando complementos como uBlock Origin, AdGuard o NoScript.
Actualizaciones y MFA
- Mantén siempre actualizados los sistemas y navegadores.
- Usa autenticación multifactor (MFA) para proteger accesos sensibles.
En definitiva, ClickFix es una técnica simple pero efectiva. No requiere virus adjuntos, ni descargas masivas, ni siquiera habilidades técnicas por parte de la víctima. Solo una falsa sensación de urgencia y un par de clics. Para las empresas, esto representa un nuevo frente de riesgo. Invertir en prevención, capacitación y seguridad proactiva es la única forma de mantenerse por delante de estas amenazas.