Así como la tecnología avanza a pasos agigantados, el cibercrimen no se queda atrás. Los actores maliciosos desarrollan constantemente nuevas tácticas para obtener información confidencial o beneficios económicos. En este contexto, Eset, compañía líder en detección proactiva de amenazas, advierte sobre una técnica relativamente reciente de ingeniería social conocida como ClickFix, utilizada para distribuir malware en los dispositivos de las víctimas.
Expertos analizan de qué se trata esta técnica, cómo son sus ataques y presenta ejemplos recientes en el mundo, incluyendo casos que muestran su presencia en América Latina.
ClickFix es una técnica de ingeniería social documentada por primera vez a principios de 2024. Utiliza ventanas emergentes que simulan problemas técnicos y manipulan a las víctimas para que ejecuten scripts maliciosos. Las excusas comunes incluyen la necesidad de actualizar el navegador, errores al abrir un documento, fallas con el micrófono en Google Meet o Zoom, o incluso completar un CAPTCHA para continuar.
En la primera fase, los cibercriminales obtienen permisos de administrador en sitios web mediante credenciales robadas. Esto les permite instalar plugins falsos que inyectan JavaScript malicioso, asociado con variantes conocidas de malware. Al ejecutarse en el navegador, este código despliega notificaciones de actualización que inducen a las víctimas a instalar malware en sus equipos. Se han identificado troyanos de acceso remoto o infostealers como Vidar Stealer, DarkGate y Lumma Stealer.
"La táctica ClickFix busca engañar a las personas para que descarguen el malware y lo ejecuten sin necesidad de una descarga directa desde el navegador ni ejecución manual de archivos. El malware se ejecuta en la memoria en vez de escribirse en el disco, lo que le permite evadir los mecanismos de seguridad del navegador y no levantar sospechas en los usuarios. Durante este tipo de ataque, los sitios comprometidos muestran falsas alertas que advierten que la página o el documento no puede visualizarse hasta que el usuario haga clic en 'Fix It' y siga los pasos indicados. De hacerlo, termina ejecutando código malicioso e instalando malware sin saberlo", explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de Eset Latinoamérica.
Es importante señalar que los llamados a la acción pueden variar, desde "Arreglar el problema" hasta "Demuestra que eres humano" en páginas falsas de CAPTCHA.
Según el Departamento de Salud y Servicios Humanos de los Estados Unidos, en su análisis sobre la distribución de este malware, “los atacantes también podrían estar apuntando a usuarios que buscan juegos, lectores de PDF, navegadores Web3 y aplicaciones de mensajería”.
En mayo de 2025, se detectó una campaña en la que cibercriminales utilizaban la técnica ClickFix mediante videos de TikTok, posiblemente generados con inteligencia artificial. El objetivo era infectar dispositivos con infostealers como Vidar y StealC, induciendo a las víctimas a ejecutar comandos maliciosos con la promesa de desbloquear funciones premium o activar software legítimo.
En marzo del mismo año, otra campaña denominada ClearFake empleó ClickFix para distribuir malware como Lumma Stealer y Vidar Stealer, esta vez a través de verificaciones falsas de reCAPTCHA y Cloudflare Turnstile.
En octubre de 2024, mediante páginas falsas de Google Meet, se distribuyeron infostealers tanto en sistemas Windows como macOS. Nuevamente, la táctica consistió en mostrar mensajes sobre supuestos errores en el navegador, llevando a la víctima a ejecutar código malicioso en PowerShell. En otro ejemplo, un usuario en la red social X alertó sobre falsos controles de bots de Cloudflare que ejecutan comandos si se hace clic en ellos.
Entre los casos detectados en América Latina destaca el de la Escuela de Ingeniería Industrial de la Universidad Católica de Chile. En abril de 2025, un especialista compartió en X una campaña en la que se detallan los pasos sugeridos a la víctima, lo que concluye con la instalación de malware sin que esta lo advierta.
El nombre ClickFix proviene del contenido de las notificaciones falsas, que suelen incluir botones con frases como "Fix it", "How to fix" o "Fix". Sin embargo, estas instrucciones en realidad desencadenan la descarga de malware. Generalmente, los pasos indicados son:
Hacer clic en el botón para copiar un código que supuestamente resuelve el problema.
Presionar las teclas [Win] + [R].
Presionar las teclas [Ctrl] + [V].
Presionar [Enter].
Lo que ocurre en segundo plano es que se copia un script invisible para el usuario, se abre la ventana "Ejecutar", se pega el script de PowerShell y, finalmente, se ejecuta con privilegios del usuario actual, iniciando la descarga e instalación del malware.
Para evitar ser víctima de ataques con ClickFix, ESET recomienda tomar las siguientes medidas:
Informarse: La educación sobre esta y otras tácticas de ingeniería social y phishing es clave para identificarlas y evitar caer en ellas.
Contar con una solución antimalware: Es fundamental mantenerla actualizada para una protección efectiva.
Activar el doble factor de autenticación: Protege en caso de que las credenciales sean comprometidas.
Mantener actualizados el sistema operativo, software y aplicaciones: Esto reduce vulnerabilidades explotables por los atacantes.
