Qué es un ataque ClickFix y cómo funciona en detalle

Informatec Digital » Recursos » Qué es un ataque ClickFix y cómo funciona en detalle

Los ataques ClickFix se han convertido en uno de los trucos de ingeniería social más de moda en el mundo del cibercrimen: campañas que parecen inofensivas, con falsos avisos de navegador o verificaciones de seguridad, pero que acaban haciendo que el propio usuario ejecute código malicioso en su equipo, casi sin darse cuenta.

Lejos de ser una curiosidad técnica, ClickFix ya se ha visto en campañas reales en América Latina, Europa y otras regiones, repartiendo infostealers, troyanos de acceso remoto (RAT) y cargadores complejos como GHOSTPULSE o NetSupport RAT, e incluso aprovechando vídeos de TikTok o tutoriales en YouTube para llegar a miles de víctimas.

Qué es exactamente un ataque ClickFix

ClickFix es una técnica de ingeniería social relativamente reciente (popularizada desde 2024) que se basa en algo muy simple: convencer al usuario de que copie y ejecute comandos en su propio sistema para “arreglar” un supuesto problema técnico o completar una verificación.

En lugar de descargar un programa malicioso de forma directa, la página web maliciosa inyecta un script o comando en el portapapeles (por ejemplo, PowerShell en Windows o comandos MSHTA) y después muestra instrucciones paso a paso para que la víctima lo pegue y lo ejecute en una consola, cuadro Ejecutar o terminal.

Esta táctica explota lo que muchos investigadores llaman “fatiga de verificación”: los usuarios están acostumbrados a dar clic rápidamente en botones tipo “Soy humano”, “Fix it” o “Actualizar ahora” sin analizar demasiado el mensaje, lo que los vuelve muy vulnerables cuando la pantalla parece una verificación de Cloudflare, un CAPTCHA de Google o un error de Google Meet o Zoom.

El nombre ClickFix viene precisamente de los botones que suelen aparecer en estos señuelos, con textos como “Fix it”, “How to fix”, “Corregir ahora” o “Solve issue”, que dan la sensación de que el usuario está aplicando una solución rápida, cuando en realidad está copiando y lanzando un script que descarga malware.

Cómo funciona un ataque ClickFix paso a paso

Aunque hay muchas variantes, casi todos los ataques ClickFix siguen una secuencia común que combina sitios web comprometidos, scripts JavaScript maliciosos y la intervención “forzada” del propio usuario para ejecutar el código.

El primer paso suele ser la visita a una web legítima que ha sido comprometida o a una página directamente maliciosa, a la que la víctima llega desde un enlace en un correo de phishing, resultados en buscadores manipulados (SEO malicioso), anuncios maliciosos o incluso desde un vídeo de TikTok o YouTube con supuestos trucos para activar software de pago.

En esa página aparece una advertencia o verificación falsa que simula un problema técnico: error al cargar un documento, fallo en la actualización del navegador, problemas con el micrófono o la cámara en Google Meet/Zoom, o una supuesta comprobación anti-bot tipo Cloudflare o reCAPTCHA que no deja seguir si no se “soluciona” algo.

En cuanto el usuario pulsa el botón de “corregir” o marca la casilla de “Soy humano”, un script JavaScript inyecta automáticamente en el portapapeles un comando malicioso, normalmente un PowerShell ofuscado o un comando MSHTA que a su vez descargará otra pieza de malware desde un servidor remoto.

La web muestra una guía detallada para que la víctima ejecute ese comando, por ejemplo:

• Hacer clic en el botón “Fix it” para “copiar el código de solución”.
• Pulsar teclas Win+R para abrir la ventana Ejecutar en Windows.
• Pulsar Ctrl+V para pegar lo que hay en el portapapeles (el comando malicioso).
• Presionar Enter para “arreglar el problema” o continuar con la verificación.

En variantes más avanzadas, el truco se hace con Win+X o con la consola del navegador: se indica al usuario que abra un terminal PowerShell con privilegios de administrador desde el menú rápido (Win+X) o que utilice la consola del navegador (F12 o Ctrl+Shift+I) y pegue allí un bloque de código JavaScript o una función “de verificación”.

Tras la ejecución del comando, el resto de la infección se desarrolla en segundo plano: el script descarga otras piezas desde servidores de mando y control (C2), descomprime ficheros, ejecuta DLLs maliciosas mediante carga lateral y termina instalando infostealers o RATs en memoria o en disco.

Por qué ClickFix es tan difícil de detectar

Una de las grandes ventajas de ClickFix para los atacantes es que salta muchas barreras de seguridad tradicionales, porque la cadena de infección parece iniciarse desde el propio usuario y no desde un archivo descargado o un exploit clásico.

No hay necesariamente un archivo adjunto sospechoso o un ejecutable descargado directamente desde el navegador, lo que significa que muchos filtros de correo, bloqueadores de descargas y controles de reputación URL no ven nada abiertamente malicioso en esa primera fase.

El comando se ejecuta desde un “shell de confianza” del sistema, como PowerShell, cmd.exe o la consola del navegador, lo cual da al malware una apariencia de actividad legítima y complica el trabajo de los antivirus basados en firmas y de algunas soluciones de seguridad poco afinadas en el análisis de comportamiento.

Los productos de seguridad suelen detectar la amenaza cuando el payload ya se ha ejecutado o intenta integrarse en procesos protegidos, modificar ficheros críticos como el archivo hosts, establecer persistencia o comunicarse con un servidor C2; es decir, en una fase ya de post-explotación.

Para entonces, el atacante puede haber obtenido un acceso muy significativo al sistema: elevar privilegios, robar credenciales, moverse lateralmente por la red corporativa o incluso intentar desactivar el antivirus y otras capas de defensa.

Dónde se ve ClickFix en la práctica: canales y señuelos habituales

Las investigaciones de distintos laboratorios de seguridad han mostrado que ClickFix se utiliza en un abanico enorme de campañas, orientadas tanto a usuarios domésticos como a empresas de sectores críticos.

Los atacantes suelen apoyarse en estos canales para desplegar sus señuelos ClickFix:

• Sitios web legítimos comprometidos, en los que inyectan marcos JavaScript como ClearFake para mostrar falsos avisos de actualización o verificación.
• Publicidad maliciosa (malvertising), especialmente banners y anuncios patrocinados que redirigen a páginas falsas de descarga de software o de validación de navegador.
• Tutoriales y vídeos en YouTube o TikTok, con supuestos trucos para activar software o desbloquear funciones premium gratis.
• Foros falsos de soporte técnico y webs que simulan portales de ayuda, donde se “recomienda” ejecutar comandos para solucionar errores del sistema.

En América Latina ya se han documentado casos donde sitios oficiales y universitarios fueron comprometidos: por ejemplo, la web de la Escuela de Ingeniería Industrial de la Universidad Católica de Chile o el sitio del Fondo de Vivienda Policial de Perú, que terminaron mostrando flujos ClickFix a sus visitantes.

Organismos de seguridad de Estados Unidos han avisado de campañas que apuntan a usuarios que buscan juegos, lectores de PDF, navegadores Web3 o apps de mensajería, todo ello explotando búsquedas cotidianas para redirigir a páginas que implementan ClickFix.

También se han observado campañas que se apoyan en supuestas páginas de Google Meet, Zoom, DocuSign, Okta, Facebook o Cloudflare, donde se muestra un error de navegador o una verificación CAPTCHA que obliga al usuario a seguir la secuencia de copiar y ejecutar comandos.

Malware más habitual distribuido con ClickFix

ClickFix rara vez es la única pieza del ataque; suele ser simplemente el vector inicial que permite desplegar una cadena de infección multi-etapa con malware muy variado.

Entre las familias más destacadas observadas en campañas recientes se encuentran:

• Infostealers como Vidar, Lumma, Stealc, Danabot, Atomic Stealer u Odyssey Stealer, especializados en robar credenciales de navegador, cookies, datos de autocompletado, carteras de criptomonedas, credenciales VPN y de FTP, etc.
• RATs (troyanos de acceso remoto) como NetSupport RAT o ARECHCLIENT2 (SectopRAT), que permiten a los atacantes controlar el sistema, ejecutar comandos, exfiltrar información y lanzar fases posteriores, incluido ransomware.
• Cargadores (loaders) avanzados como GHOSTPULSE, Latrodectus o ClearFake, que actúan como pegamento, descargando, descifrando y cargando en memoria las piezas siguientes, a menudo con capas de ofuscación y cifrado muy elaboradas.
• Herramientas de robo de información financiera y corporativa, que extraen datos de formularios, clientes de correo, mensajería y aplicaciones empresariales.

En campañas activas durante 2024 y 2025 se ha visto ClickFix alimentando cadenas complejas: por ejemplo, un señuelo ClickFix que lanza un PowerShell, este descarga un archivo ZIP con un ejecutable legítimo (como jp2launcher.exe de Java) y una DLL maliciosa, y mediante carga lateral se termina ejecutando NetSupport RAT en el equipo.

Otro caso frecuente es el uso de MSHTA con URLs ofuscadas hacia dominios tipo iploggerco, que imitan servicios de acortadores o registradores de IP legítimos; desde ahí se descarga un script PowerShell codificado en Base64 que termina soltando stagers de Lumma Stealer o similares.

Casos reales y campañas destacadas con ClickFix

Los informes de varios equipos de respuesta a incidentes y laboratorios de seguridad han identificado múltiples campañas muy activas que giran en torno a ClickFix como punto de entrada.

En el ámbito empresarial, se ha observado un impacto notable en sectores como tecnología avanzada, servicios financieros, manufactura, comercio minorista y mayorista, administraciones públicas, servicios profesionales y legales, energía y utilities, entre muchos otros.

En una campaña de mayo de 2025, los atacantes utilizaron ClickFix para desplegar NetSupport RAT a través de páginas falsas que se hacían pasar por DocuSign y Okta, aprovechando infraestructura asociada al framework ClearFake para inyectar JavaScript que manipulaba el portapapeles.

Durante marzo y abril de 2025 se documentó un aumento de tráfico hacia dominios controlados por la familia Latrodectus, que empezó a utilizar ClickFix como técnica de acceso inicial: un portal comprometido redirigía a una falsa verificación, la víctima ejecutaba un PowerShell desde Win+R y este descargaba un MSI que dejaba caer la DLL maliciosa libcef.dll.

En paralelo, se detectaron campañas de typosquatting ligadas a Lumma Stealer, en las que se pedía a las víctimas que ejecutaran comandos MSHTA que apuntaban a dominios que imitaban a iplogger; esos comandos descargaban scripts PowerShell fuertemente ofuscados que acababan descomprimiendo paquetes con ejecutables como PartyContinued.exe y contenidos CAB (Boat.pst) para montar un motor de scripts AutoIt encargado de lanzar la versión final de Lumma.

Elastic Security Labs ha descrito además campañas donde ClickFix sirve de gancho inicial para GHOSTPULSE, que a su vez carga un loader .NET intermedio y finalmente inyecta ARECHCLIENT2 en memoria, saltándose mecanismos como AMSI mediante hooking y ofuscación avanzada.

En el terreno del usuario final, varios proveedores han mostrado ejemplos simplificados del ataque ClickFix en los que una página de “actualización del navegador” o un falso CAPTCHA copia silenciosamente un script al portapapeles y luego obliga al usuario a pegarlo en PowerShell con privilegios de administrador, lo que facilita la conexión a infraestructura C2 y la descarga de ejecutables que modifican el sistema.

Un fenómeno especialmente preocupante es la llegada de ClickFix a TikTok: vídeos generados incluso con IA promocionan “métodos fáciles” para activar gratis versiones de pago de Office, Spotify Premium o programas de edición, pero en realidad guían a los usuarios a copiar y pegar comandos maliciosos que instalan infostealers como Vidar o Stealc.

Cómo detectan los analistas las infecciones ClickFix

Aunque para el usuario pueda parecer magia negra, las infecciones ClickFix dejan rastro técnico que los equipos de caza de amenazas (threat hunting) y los EDR pueden aprovechar para detectar el incidente.

En entornos Windows, uno de los puntos de análisis es la clave de registro RunMRU, que almacena los comandos recientes ejecutados desde la ventana Ejecutar (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Los analistas revisan estas entradas buscando patrones sospechosos: comandos ofuscados, uso de PowerShell o MSHTA con URLs poco habituales, llamadas a dominios desconocidos, o referencias a herramientas administrativas que el usuario normal no suele usar.

Cuando los atacantes usan la variante Win+X (menú de acceso rápido) para lanzar PowerShell o el Símbolo del sistema, la pista se busca en la telemetría de procesos: eventos de creación de proceso (como el ID 4688 en el registro de seguridad de Windows) donde explorer.exe genera powershell.exe justo después de la pulsación de Win+X.

La correlación con otros eventos, como accesos a la carpeta %LocalAppData%\Microsoft\Windows\WinX\ o conexiones de red sospechosas tras esa ejecución, ayuda a perfilar el comportamiento típico de una infección ClickFix, especialmente si se ve a procesos como certutil.exe, mshta.exe o rundll32.exe apareciendo inmediatamente después.

Otro vector de detección es el abuso del portapapeles: soluciones avanzadas de filtrado de URL y seguridad DNS pueden identificar JavaScript que intenta inyectar comandos maliciosos en el buffer del portapapeles, lo que sirve para bloquear la página antes de que el usuario complete la secuencia.

Qué persiguen los atacantes con la técnica ClickFix

Detrás de toda esta ingeniería social hay un objetivo claro: obtener beneficios económicos a partir de la información robada, tanto de usuarios individuales como de organizaciones.

Los infostealers desplegados gracias a ClickFix se orientan a recolectar credenciales, cookies y datos sensibles almacenados en navegadores, clientes de correo, aplicaciones corporativas o carteras de criptomonedas, así como documentos internos y datos financieros.

Con ese material, los actores maliciosos pueden llevar a cabo múltiples actividades delictivas:

• Extorsionar a las empresas, amenazando con filtrar información confidencial sobre la organización o sus clientes.
• Realizar fraudes económicos directos aprovechando cuentas bancarias, sistemas de pago online o criptocarteras comprometidas.
• Suplantar la identidad de la empresa o de empleados para ejecutar fraudes contra terceros, como el típico fraude del CEO o ataques BEC.
• Vender en la dark web paquetes de credenciales y datos que otros grupos criminales utilizarán en futuros ataques.
• Llevar a cabo espionaje industrial o geopolítico cuando el objetivo es una organización concreta o un sector estratégico.

En muchas campañas documentadas, ClickFix ha sido solo el primer paso hacia ataques mayores, incluyendo despliegue de ransomware tras el robo de credenciales, acceso prolongado a redes corporativas o uso de la infraestructura comprometida como trampolín hacia otros objetivos.

Cómo pueden protegerse usuarios y empresas frente a ClickFix

La defensa frente a ClickFix combina tecnología, buenas prácticas y mucha concienciación, porque el eslabón débil que explota esta técnica es precisamente el comportamiento del usuario.

A nivel individual, hay varias reglas de oro muy sencillas que reducen enormemente el riesgo de caer:

• No pegar nunca código en una consola (PowerShell, cmd, terminal, consola del navegador) porque lo pida una web, por muy legítima que parezca.
• Desconfiar de verificaciones de Cloudflare, CAPTCHA o páginas de “actualización del navegador” que pidan pasos extraños más allá de hacer clic en una casilla o un botón.
• Mantener el navegador, el sistema operativo y las aplicaciones siempre actualizadas, instalando parches desde las fuentes oficiales y no desde banners o pop-ups aleatorios.
• Activar el doble factor de autenticación (2FA) en las cuentas importantes, para complicar la vida a los atacantes aunque consigan robar la contraseña.

En el entorno corporativo, además de estas recomendaciones, las empresas deberían ir un paso más allá y abordar ClickFix como una amenaza específica dentro de su estrategia de seguridad.

Algunas medidas clave para organizaciones son:

• Restringir el uso de herramientas de ejecución de comandos (PowerShell, cmd, MSHTA) mediante políticas de grupo, listas de control de aplicaciones o configuraciones de EDR, de forma que solo perfiles técnicos las utilicen y siempre registrando la actividad.
• Implementar soluciones antimalware y EDR modernas con capacidad de detección basada en comportamiento, capaces de identificar patrones de ejecución sospechosos incluso cuando interviene el usuario.
• Monitorizar el tráfico de red y las conexiones salientes a dominios poco reputados, especialmente hacia servicios de acortadores, dominios recién registrados o TLD poco habituales.
• Revisar periódicamente artefactos como RunMRU, logs de PowerShell y eventos de seguridad para detectar indicadores de uso indebido de Win+R, Win+X o consolas administrativas.

Un pilar fundamental es la formación continua y realista del personal: no basta con un curso teórico, sino que es útil realizar pruebas controladas de ingeniería social que simulen campañas tipo ClickFix, fraudes del CEO, phishing avanzado o malvertising.

Estas simulaciones permiten medir el nivel de madurez de la plantilla frente a estas técnicas, ajustar la estrategia de concienciación, identificar áreas de mayor riesgo y reforzar la cultura de “parar y pensar” antes de seguir instrucciones sospechosas en una página web o un correo.

Además, es vital que las empresas estén preparadas para responder con rapidez a un incidente: disponer de planes de respuesta claros, equipos o proveedores especializados, y procesos de contención y erradicación bien definidos para cuando se detecte un posible caso de ClickFix o cualquier otro vector de compromiso.

La proliferación de la técnica ClickFix deja claro que los atacantes han encontrado una forma muy efectiva de convertir al propio usuario en cómplice involuntario, y que no dudan en combinarla con malware sofisticado, infraestructuras de C2 dinámicas y campañas masivas en redes sociales o buscadores; entender cómo funciona, reconocer sus señales y reforzar tanto la tecnología como la educación de los usuarios marca hoy la diferencia entre sufrir una brecha grave o cortar el ataque a tiempo.