FileFix, sucesor de ClickFix, emerge como nueva amenaza de ingeniería socia

FileFix, sucesor de ClickFix, emerge como nueva amenaza de ingeniería socia

En los últimos años hemos observado una rápida evolución de los métodos de ingeniería social — y si antes el phishing se limitaba a falsificar páginas de forma burda y a enviar correos masivos sospechosos, hoy los atacantes emplean escenarios mucho más sofisticados y técnicamente elaborados. Uno de los ejemplos más llamativos de esa evolución fue ClickFix — un método que engaña al usuario para que ejecute por sí mismo código malicioso. Pero le ha sucedido un enfoque nuevo y aún más insidioso — FileFix. En este artículo explicaremos cómo funciona FileFix, por qué es peligroso, en qué se diferencia de ClickFix y, lo más importante, cómo protegerse. Presentaremos casos reales, detalles técnicos, consejos para la detección e incluso nuestras reflexiones sobre hacia dónde se dirige la ingeniería social moderna.

ClickFix: evolución del «copiar y pegar» como vector de ataque

ClickFix fue un tipo de ataque que ganó enorme popularidad en 2024. La idea es simple pero ingeniosa: el usuario llega a una página falsa (suele presentarse como una verificación CAPTCHA, un error del navegador o una actualización de certificado) donde se le muestra una instrucción: copie este texto y péguelo en Ejecutar (Win+R) o en el terminal. Confiando en la instrucción, el usuario ejecuta por sí mismo un script malicioso (habitualmente un comando de PowerShell o bash).

Según ESET, la cantidad de ataques ClickFix aumentó un 517 % en solo seis meses — un salto colosal incluso para los estándares del cibercrimen. La geografía de estos ataques es amplia: lideran Japón, Perú, Polonia, España y Eslovaquia. Pero en realidad la distribución es aún mayor: estos trucos se usan en todo el mundo, y los constructores listos para crear páginas ClickFix se han convertido en un nuevo producto en foros de la darknet.

¿Por qué ClickFix es tan eficaz?

  • Psicología de la confianza. Todo parece oficial: logotipos corporativos, frases estándar, imitación de la interfaz de servicios populares.
  • Acción cotidiana. Copiar y pegar es una tarea elemental. Nadie espera que haya una trampa.
  • Sin limitaciones técnicas. Los antivirus raramente bloquean este tipo de acciones: formalmente es el propio usuario quien lanza el código malicioso.
  • Automatización y escalabilidad. Los creadores de páginas ClickFix permiten producir ataques a gran escala y personalizarlos por país, idioma y marca.

La víctima típica de ClickFix no tiene por qué ser un novato. Con frecuencia se trata de empleados, desarrolladores o autónomos que tienen prisa y no leen el texto con atención. Cabe destacar que entre los afectados hay muchos profesionales de TI: el ataque está diseñado para parecer completamente inocuo.

FileFix: cuando la barra de direcciones se convierte en trampa

Podría parecer que poco más queda por simplificar en ingeniería social. Sin embargo, el investigador conocido como mr.d0x demostró que sí es posible. Presentó un nuevo ataque — FileFix — que reinterpreta la idea de ClickFix y la hace todavía más imperceptible para el usuario.

Cómo funciona: escenario paso a paso de FileFix

  1. La víctima recibe un correo o mensaje con un enlace a un «documento» o «informe» — algo que aparenta ser rutina corporativa.
  2. Al seguir el enlace, el usuario llega a una página de phishing con una interfaz convincente (a veces casi indistinguible de servicios legítimos). Allí se indica: «El archivo solo está disponible a través del Explorador de Windows. Para acceder a él, copie la ruta indicada y pégala en la barra de direcciones del Explorador, luego pulse Enter».
  3. En la página hay un botón «Abrir en el Explorador». Al hacer clic, se abre el selector de archivos y al mismo tiempo se copia en el portapapeles no solo una ruta, sino una orden especial:
    powershell.exe -c ping attacker.site # C:/Users/User/Documentos/Informe.docx
    El usuario no ve la parte maliciosa, porque tras el símbolo «#» todo se interpreta como comentario.
  4. El usuario pulsa Ctrl + L (enfoca la barra de direcciones), Ctrl + V (pega la orden), Enter — y listo: se inicia PowerShell, seguido de un «acceso invisible» a la ruta (que en realidad no abre nada visible).

¿Cuál es la diferencia clave respecto a ClickFix?

  • No es necesario usar la ventana de Ejecutar — todo ocurre en la interfaz habitual del Explorador, lo que resulta aún más seguro y cotidiano.
  • El ataque funciona aunque el usuario no tenga privilegios de administrador, ya que PowerShell se ejecuta en el contexto del usuario.
  • La orden maliciosa se oculta antes de la ruta real, después del símbolo «#». El usuario piensa que está pegando una ruta normal a un archivo.
  • El ataque no requiere descargar archivos ni abrir adjuntos: todo se hace copiando texto y pulsando una tecla.

FileFix bajo el microscopio: detalles técnicos y puntos vulnerables

Analicemos la «cocina» interna de FileFix con más detalle. A primera vista es una simple combinación de la API del portapapeles, las particularidades de la barra de direcciones de Windows y un pequeño script de PowerShell. Pero el diablo está en los detalles.

1. Manipulación del portapapeles

El botón en la página de phishing usa navigator.clipboard.writeText() o el antiguo document.execCommand('copy'), sustituyendo al instante el contenido del portapapeles por una cadena especialmente preparada. El usuario ni siquiera nota que ha copiado algo distinto a la ruta que ve en la indicación. Si el navegador ya concedió los permisos necesarios, el script malicioso copia la orden sin ventanas emergentes ni advertencias.

2. Explotación de la barra de direcciones del Explorador

El Explorador de Windows interpreta la cadena introducida no solo como ruta de archivo, sino también como comando. Si se pega una orden que incluye un ejecutable (por ejemplo, powershell.exe), el Explorador lo interpreta como el inicio de un proceso, y todo lo que siga después del símbolo # se ignora — se trata como un «comentario» para la orden.

Este comportamiento procede de versiones antiguas de Windows y no se considera estrictamente una vulnerabilidad: el Explorador simplemente hace lo que se le pide — y los atacantes lo aprovechan.

3. Enmascaramiento de la orden

Con frecuencia la cadena tiene este aspecto: 

powershell.exe -NoProfile -WindowStyle Hidden -c "código"         # C:/Users/User/Report.docx

Para hacer la parte maliciosa menos visible se usan:

  • Espacios largos entre la orden y la «ruta real»;
  • Saltos de línea para que la orden maliciosa «salga» de la vista;
  • Uso de distintas codificaciones (espacios UNICODE, caracteres de ancho cero y otros) para ocultar el inicio de la orden en el historial de entrada o en los registros;
  • Experimentos con símbolos & y | para ejecutar varias órdenes en cadena.

4. Carga útil: ¿qué hace exactamente el ataque?

Depende de la intención del atacante. Los escenarios más comunes son:

  • Descarga y ejecución de un infostealer o de un RAT (troyano de acceso remoto);
  • Creación de un usuario malicioso en la máquina mediante PowerShell;
  • Apertura de una conexión inversa (reverse shell) hacia el servidor del atacante;
  • Instalación de un minero de criptomonedas, un ransomware u otro malware;
  • Recolección de información del sistema y envío a un servidor remoto;
  • Participación en botnets o ataques DDoS;
  • Ejecución de comandos para expandir la intrusión — movimiento lateral, escaneo de la red, etc.

Ejemplos reales de escenarios de ataques FileFix

Escenario 1: ataque corporativo clásico

Los atacantes envían a empleados un correo con el asunto «Se le ha concedido acceso a un documento importante». El mensaje contiene un enlace a una página de phishing donde se explica: «Por la política de seguridad, el acceso al documento solo es posible a través del Explorador de Windows. Copie la ruta y péguela en la barra de direcciones». Al seguir las instrucciones se lanza PowerShell, que descarga y ejecuta un RAT. La mayoría de usuarios ni siquiera sospecha lo ocurrido — el archivo no se abrió y todas las acciones parecían rutinarias.

Escenario 2: phishing dirigido a especialistas de TI

Los atacantes se hacen pasar por soporte técnico de una gran empresa de TI. En una página diseñada como un portal interno piden copiar y pegar una «ruta temporal para actualizar la política de acceso». Como resultado, en la máquina de la víctima se instala un troyano «invisible» que luego se usa para extorsionar o para robar contraseñas de gestores como KeePass o 1Password.

Escenario 3: ataques masivos a través de plataformas populares

Vía mensajería, redes sociales o supuestas «actualizaciones» de plataformas de juego se distribuyen enlaces a páginas con instrucciones para «activar un nuevo modo de abrir archivos». Esto provoca la instalación masiva de mineros o stealers en los dispositivos de usuarios.

Por qué FileFix es una evolución y no solo un truco nuevo

FileFix no es una simple copia de ClickFix con otra interfaz. Es un ejemplo de cómo la ingeniería social se adapta a los hábitos de los usuarios y busca constantemente nuevos puntos de ataque. Por eso FileFix se considera una evolución:

  • El ataque ocurre donde nadie sospecha. La barra de direcciones del Explorador es percibida como uno de los interfaces más seguros.
  • No requiere permisos adicionales. El ataque se ejecuta sin el Control de cuentas de usuario (UAC), sin ventanas emergentes ni advertencias de seguridad.
  • Fácil de modificar y personalizar. Los escenarios se ajustan rápidamente a nuevos servicios y se puede usar inteligencia artificial para generar textos plausibles en cualquier idioma.
  • Metodologías híbridas. FileFix puede combinarse con ClickFix, entregando órdenes a través de Ejecutar, terminales o incluso accesos directos en el escritorio.

Protección contra FileFix: un enfoque multinivel

1. Formación de usuarios

  • Capacitaciones internas y simulaciones de phishing que muestren métodos modernos de ingeniería social;
  • Instrucciones claras y sencillas: nunca pegar comandos o rutas desde correos o sitios en la barra de direcciones del Explorador, en Ejecutar o en un terminal;
  • Ejemplos de ataques reales — para que el personal reconozca casos prácticos y no solo teoría;
  • Recordatorios periódicos de que los correos «oficiales» nunca requieren copiar y pegar scripts o rutas para ejecutar acciones.

2. Medidas técnicas

  • Bloquear la ejecución de PowerShell y cmd mediante políticas de grupo o listas blancas de aplicaciones;
  • Monitoreo del portapapeles en busca de cadenas sospechosas y auditorías periódicas del uso de la API Clipboard;
  • Uso de soluciones EDR/antivirus modernas con firmas actualizadas (Defender ya detecta FileFix);
  • Implementación de reglas Sigma para rastrear procesos iniciados desde el Explorador con parámetros de PowerShell o cmd;
  • Análisis de las claves de registro TypedPaths — ayudan a detectar la aparición masiva de rutas sospechosas en el historial del Explorador;
  • Restricciones estrictas para el uso de scripts en redes corporativas (AppLocker, SRP);
  • Actualización regular del sistema operativo y navegadores — los atacantes suelen aprovechar fallos en versiones antiguas del API del portapapeles o del Explorador de Windows.

3. Herramientas para detectar FileFix

Para el equipo de seguridad es fundamental implantar búsquedas automáticas de indicadores de ataque. Algunas fuentes útiles:

  • Reglas Sigma para FileFix y ClickFix;
  • Consultas para Microsoft Sentinel sobre procesos iniciados por el Explorador de Windows;
  • Plugins para SIEM que analicen el portapapeles;
  • Análisis de eventos en los registros de PowerShell (por ejemplo, ejecución de scripts desde la línea de comandos, comandos frecuentes como ping/iex);
  • Páginas honeypot internas — se puede crear una trampa para comprobar la atención y la capacidad de aprendizaje de los empleados.

Nuevas tendencias: ¿qué sigue?

FileFix es solo una parada en el largo camino de la evolución de la ingeniería social. Ya se observan varias tendencias:

  • Ataques mediante accesos directos e imágenes ISO. Han surgido ataques en los que la orden maliciosa se inserta en un acceso directo o se ejecuta al montar una imagen ISO;
  • Copiar y pegar en sistemas móviles. Técnicas similares se usan para eludir restricciones en Android e iOS (por ejemplo, mediante el portapapeles o códigos QR);
  • Integración con IA generativa. Páginas y guías de phishing cada vez más escritas por bots — altamente personalizadas y casi indistinguibles de contenido legítimo;
  • Expansión a macOS y Linux. Ya existen análogos de FileFix para macOS (por ejemplo, pegado en el terminal con pbcopy/pbpaste) e incluso para Nautilus/GNOME;
  • Complicación de la carga útil. Si antes el objetivo principal era descargar y ejecutar un stealer, ahora se ven esquemas multinivel — desde la recolección de información hasta la permanencia a largo plazo en el sistema (persistencia, movimiento lateral, etc.).

Conclusión: los hábitos son el verdadero arma de los ciberdelincuentes

FileFix no es una nueva vulnerabilidad del código de Windows. Es una vulnerabilidad en nuestros hábitos. Los atacantes adaptan constantemente sus métodos a la manera en que realmente trabajamos con la tecnología: dónde clicamos, qué copiamos y qué hacemos de forma automática. FileFix es elegante precisamente porque se basa en nuestra pereza y confianza, no en bugs del software.

La protección exige no solo soluciones técnicas, sino también conciencia real. Su seguridad no depende únicamente del antivirus y las actualizaciones, sino de la atención al detalle y de una actitud crítica ante cualquier instrucción de «copiar, pegar y pulsar Enter». Es necesario explicar a los empleados que cualquier «nuevo modo de abrir archivos», sobre todo si implica instrucciones inusuales y el portapapeles, es muy probablemente un intento de ingeniería social. A los responsables y administradores les corresponde revisar con regularidad las nuevas tácticas de ataque, actualizar las herramientas de monitorización y no confiar exclusivamente en el antivirus, sin descuidar la formación.

FileFix y sus numerosos clones ya circulan en la naturaleza. Si piensa «a mí nunca me pasará», recuerde cuántas veces ha pegado una ruta de forma automática desde un correo o un mensaje. Que este artículo le sirva de recordatorio: la ingeniería social moderna siempre va varios pasos por delante. No le dé ni una oportunidad.

Alt text
article-title

Deni Haipaziorov