Descubre qué es ClickFix, la trampa de ingeniería social que instala malware con un simple comando, y aprende los pasos clave para evitarla.
ClickFix es un engaño que muestra alertas falsas y guía a la víctima a pulsar Win + R, pegar con Ctrl + V y presionar Enter, lo que desencadena la ejecución de un script malicioso. Al ejecutar la orden el propio usuario, gran parte del filtrado automático pasa por alto la amenaza.
➡️ Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
Esta táctica se identificó por primera vez en marzo de 2024, según investigadores de Proofpoint, y desde entonces ha crecido exponencialmente. Lo que nació en Windows ahora afecta macOS, Linux e incluso Android e iOS, donde algunas variantes ya operan como ataques drive-by sin clic alguno.
¿Cómo funciona un ataque ClickFix?
- Puerta de entrada: webs comprometidas y anuncios maliciosos. Los atacantes inyectan pop-ups en sitios legítimos o malvertising que imitan reCAPTCHA u otras webs y posteriormente reclaman al usuario copiar un código para «arreglar» el problema.
- Ingeniería social en tres pulsaciones. El falso asistente indica abrir la ventana Run (Win + R), pegar el comando copiado (Ctrl + V) y ejecutarlo (Enter), con la excusa de verificar la identidad o instalar un parche.
- Descarga y ejecución del malware. El comando suele invocar PowerShell o mshta.exe y descargar payloads como Lumma Stealer, XWorm o NetSupport RAT. En móviles, la versión evolucionada descarga automáticamente un archivo TAR malicioso, ejemplo de auténtico ataque drive-by.
Consecuencias de caer en ClickFix
- Robo de datos y control remoto. Las infecciones derivan en robo de credenciales, keyloggers, ransomware o acceso remoto persistente. Al ejecutarse en la memoria, muchas veces pasa inadvertido.
- Persistencia y movimiento lateral. Los scripts crean tareas programadas o DLL ocultas, lo que perpetúa el acceso y facilita la propagación interna.
Cómo protegerte frente a ClickFix
- Desconfía de comandos manuales. No copies ni pegues instrucciones recibidas por pop-ups o correos sospechosos, sin importar lo legítimas que parezcan.
- Restringe PowerShell y la consola. Bloquea la ejecución de scripts no firmados y deshabilita Win + R o PowerShell para usuarios estándar.
- Refuerza la detección con EDR y antimalware. Las soluciones EDR descubren patrones anómalos (Invoke-WebRequest, mshta.exe sin contexto). Mantén tu antimalware actualizado y aplica listas de bloqueo.
- Formación y simulacros. Implementa programas de concienciación y simulaciones de phishing para reforzar la cultura de ciberseguridad.
➡️ Si quieres aprender más, te recomendamos los siguientes cursos de LISA Institute.
