Haz clic y destruye tu sistema. ClickFix enseña a los usuarios a trabajar para hackers

Durante el último año, la técnica de ingeniería social conocida como ClickFix se ha propagado rápidamente gracias a una combinación de métodos únicos de distribución, guiones convincentes y avanzadas técnicas de evasión de defensas. Los analistas de Guardio Labs señalan que, por su ritmo y escala, este nuevo esquema incluso ha desplazado del mercado a las antiguas actualizaciones falsas de navegadores, que durante mucho tiempo fueron un dolor de cabeza para usuarios en todo el mundo.

Lo que distingue a ClickFix es que ha abandonado por completo la necesidad de descargar archivos, una base tradicional en este tipo de ataques. En su lugar, los estafadores recurren a manipulaciones más sutiles: muestran a la víctima un mensaje convincente sobre un problema inexistente o le proponen resolver un CAPTCHA.

En ambos casos, la persona ejecuta voluntariamente acciones peligrosas: a través de páginas engañosas, los atacantes logran convencer al usuario de copiar un comando generado y pegarlo en la terminal del sistema o en la ventana "Ejecutar" de Windows. Todo esto se presenta como una solución rápida a un problema urgente, lo que genera una sensación de apremio y confianza en muchos usuarios.

Para atraer a sus víctimas, los atacantes utilizan un amplio arsenal, que va desde campañas de correo electrónico y ataques de tipo drive-by, hasta publicidad maliciosa y manipulación de resultados en motores de búsqueda. Los mensajes falsos se adaptan al máximo a cada plataforma, y los delincuentes tratan de operar a través de infraestructuras confiables: por ejemplo, alojan páginas CAPTCHA falsas mediante Google Scripts y disfrazan archivos maliciosos como si fueran componentes legítimos de bibliotecas conocidas.

La parte más peligrosa es la ejecución de la cadena maliciosa que se activa con un solo comando copiado. Esto puede derivar en infecciones con diversos tipos de malware: desde infostealers y herramientas de acceso remoto hasta descargadores de nuevas amenazas. Es precisamente esta flexibilidad y capacidad de adaptación lo que ha permitido que ClickFix se posicione rápidamente entre los esquemas de ataque más relevantes.

En Guardio Labs destacan que en los últimos meses las técnicas no solo se han vuelto más sofisticadas desde el punto de vista técnico, sino también psicológicamente más refinadas: los mensajes ahora apelan a la sospecha o urgencia para aumentar la probabilidad de que la víctima siga las instrucciones.

ClickFix — evolución del esquema ClearFake, que anteriormente se aprovechaba de sitios WordPress comprometidos mediante ventanas falsas de actualización del navegador y distribución de malware. Posteriormente, estos ataques incorporaron técnicas como EtherHiding para ocultar cargas maliciosas dentro de contratos inteligentes en Binance Smart Chain.

A medida que ha evolucionado, ClickFix ha demostrado cómo las amenazas no solo se vuelven técnicamente más avanzadas, sino también psicológicamente más elaboradas. Los estafadores invierten grandes recursos para que sus ataques sean prácticamente indistinguibles de escenarios legítimos: utilizan ofuscación, carga dinámica, inyección en archivos aparentemente seguros e integración con plataformas legítimas para eludir los mecanismos de defensa.

Hoy, ClickFix no es simplemente otra falsificación, sino una verdadera epidemia en el mundo de las amenazas digitales, ya empleada tanto por grupos cibercriminales como por actores estatales en ataques dirigidos. El esquema evoluciona constantemente, y en los últimos meses ha provocado infecciones masivas y un aumento en las campañas de phishing exitosas a nivel mundial.