ClickFix, una avanzada táctica de ingeniería social descubierta por Guardio Labs, ha tomado protagonismo en el panorama de ciberamenazas de 2024 y 2025. Esta técnica maliciosa ha logrado superar incluso a la infame campaña ClearFake, conocida por distribuir malware mediante falsas actualizaciones de navegador, y ha inaugurado una nueva era en ataques basados en manipulación psicológica, phishing y evasión avanzada.
¿Qué es ClickFix y por qué es tan peligrosa?
ClickFix es una técnica de engaño que explota la confianza del usuario y la urgencia psicológica para inducirlo a ejecutar comandos maliciosos en su propio sistema operativo. Según el investigador Shaked Chen, la táctica eliminó la necesidad de descargar archivos directamente y se ha expandido a través de canales de alto nivel de confianza, lo que permitió una propagación masiva y altamente dirigida, incluso en ataques de spear-phishing.
Este enfoque representa una mutación más sofisticada de ClearFake, pero con una mejor narrativa, mayor sigilo, técnicas de evasión más refinadas y una infraestructura más confiable que explota servicios legítimos como Google Scripts.
Cómo funciona ClickFix: secuencia de ataque paso a paso
-
Vector de entrada: el ataque comienza a través de phishing, descargas forzadas, malvertising o incluso SEO envenenado para redirigir al usuario a un sitio falso.
-
Falso CAPTCHA o mensaje de error: la víctima se encuentra con una pantalla aparentemente legítima que simula un fallo del sistema o la necesidad de verificación mediante CAPTCHA.
-
Ingeniería social: se indica al usuario que copie un comando (previamente colocado de forma invisible en su portapapeles) y lo ejecute en su sistema, ya sea en Windows Run (Win+R) o en la Terminal de macOS.
-
Ejecución del código: el comando inicia una secuencia automatizada que descarga y ejecuta malware multi-etapa, como ladrones de credenciales, troyanos de acceso remoto (RATs) o cargadores.
-
Persistencia y evasión: el malware se camufla como archivos legítimos o scripts comunes para evitar su detección por herramientas antivirus tradicionales.

Técnicas avanzadas: cómo evade ClickFix la detección
Guardio Labs resalta que ClickFix se caracteriza por una combinación escalofriante de técnicas evasivas:
-
Ofuscación de código para ocultar instrucciones maliciosas.
-
Carga dinámica de scripts.
-
Uso de archivos legítimos modificados, como
1socket.io.min.js, para insertar cargas maliciosas.
-
Entrega multiplataforma, compatible tanto con Windows como macOS.
-
Abuso de infraestructuras legítimas como Google Scripts, aprovechando el dominio google.com para ganar confianza.
-
Alojamiento de archivos maliciosos en servicios cloud de confianza, lo que reduce las tasas de detección.
Todo esto convierte a ClickFix en una amenaza robusta y adaptable, que elude medidas de seguridad convencionales y sigue evolucionando con cada iteración.
Del ClearFake al CAPTCHAgeddon: evolución del ataque
ClickFix es, en muchos sentidos, la evolución natural de ClearFake, una campaña que utilizaba sitios WordPress comprometidos para mostrar ventanas emergentes de actualización falsa del navegador, con enlaces a malware ladrón. Con el tiempo, ClearFake incorporó tácticas como EtherHiding, que ocultaban cargas útiles en contratos inteligentes en Binance Smart Chain, dificultando su análisis y detección.
Ahora, con ClickFix, se ha llegado a lo que Guardio denomina CAPTCHAgeddon, una era en la que tanto ciberdelincuentes como actores patrocinados por Estados utilizan esta técnica en docenas de campañas simultáneas, afectando a usuarios y empresas por igual.
Ingeniería social de nueva generación: la clave del éxito
La efectividad de ClickFix se basa en la explotación de la psicología humana. Los mensajes de error y los falsos CAPTCHA han sido refinados para incluir señales de urgencia, sospecha o amenaza, lo que induce a los usuarios a actuar sin pensar críticamente.
Según Chen, “los atacantes no solo mejoran sus plantillas de phishing; también invierten en la optimización de la narrativa del ataque, adaptándola a cada tipo de usuario para maximizar la tasa de conversión”.
Implicaciones para la seguridad cibernética
La aparición de ClickFix demuestra una tendencia alarmante: la automatización y expansión de campañas de phishing impulsadas por ingeniería social avanzada y soporte técnico de alta calidad. Estas amenazas no se limitan a usuarios particulares, sino que representan un riesgo creciente para entornos empresariales, sobre todo aquellos sin políticas estrictas de ciberhigiene y formación en seguridad.
ClickFix también plantea serias preguntas sobre el uso de servicios legítimos para operaciones maliciosas, una tendencia cada vez más común en el arsenal de los actores de amenazas.
Recomendaciones de seguridad frente a ClickFix y amenazas similares
-
Capacitación constante a empleados sobre nuevas tácticas de ingeniería social.
-
Bloqueo de ejecución de comandos desconocidos mediante políticas de grupo en Windows/macOS.
-
Monitoreo de comportamiento y herramientas EDR con análisis de portapapeles.
-
Bloqueo de scripts externos no autorizados en navegadores y herramientas de desarrollo.
-
Auditoría constante de servicios cloud y APIs utilizadas en la organización.
El futuro del malware es psicológico y contextual
ClickFix marca un cambio de paradigma en la forma en que se ejecutan y distribuyen los ciberataques. No depende exclusivamente de exploits técnicos, sino de una combinación letal de narrativa persuasiva, abuso de confianza e innovación técnica. En lugar de romper sistemas, rompe la confianza del usuario y se infiltra mediante el engaño.
A medida que la superficie de ataque digital se expande, protegerse contra amenazas como ClickFix requerirá no solo tecnología de punta, sino una conciencia constante del factor humano en la ciberseguridad.
Fuente: The Hacker News
