Aumentan los ataques "ClickFix" según un informe de ESET

Cristian Do Carmo Rodríguez -

El equipo de investigación de ESET ha publicado su informe de amenazas correspondiente a la primera mitad de 2025 (H1 2025). Este informe ofrece una visión detallada de las principales tendencias y evoluciones que han marcado el panorama de las ciberamenazas desde diciembre de 2024 hasta mayo de 2025. Vamos a ver qué nos depara este análisis.

Principales hallazgos del informe

Tony Anscombe, Chief Security Evangelist de ESET, resume en un vídeo los hallazgos más destacados del informe y sus implicaciones para las organizaciones en 2025 y más allá.

A continuación, repasamos algunos de los puntos clave:

ClickFix

Una nueva técnica de ingeniería social que ha irrumpido con fuerza en el panorama de las amenazas. Las detecciones de esta amenaza se han multiplicado por cinco en el H1 2025 en comparación con la segunda mitad de 2024. ¡Ojo con los clicks!

Adware en Android

Las detecciones de adware en Android han experimentado un aumento del 160%. Esto se debe principalmente al fraude de evil twin y al aumento de las aplicaciones potencialmente no deseadas (PUA).

Ransomware

El número de ataques de ransomware y bandas dedicadas a este tipo de ataques ha seguido creciendo. Sin embargo, el valor total de los pagos exigidos por rescate ha tendido a disminuir.

¿Qué es Clickfix?

Clickfix es una técnica de ingeniería social que surgió a principios de 2024. Consiste en la aparición de ventanas emergentes que simulan problemas técnicos (como errores de navegador, problemas con el micrófono o la necesidad de un CAPTCHA) para engañar a los usuarios y que ejecuten scripts maliciosos.

¿Cómo funciona un ataque Clickfix?

Los atacantes obtienen acceso a sitios web legítimos, a menudo mediante el robo de credenciales, para instalar plugins falsos. Estos plugins inyectan JavaScript malicioso que muestra notificaciones falsas al usuario. Las notificaciones suelen contener un botón con un verbo relacionado con "arreglar" (por ejemplo, "Fix it", "How to fix"), lo que le da nombre a la técnica.

Si el usuario hace clic en este botón y sigue las instrucciones, que generalmente implican copiar un código, abrir la ventana "Ejecutar" ([Win] + [R]), pegar el código ([Ctrl] + [V]) y presionar [Enter], lo que realmente sucede es lo siguiente:

  • Se copia un script invisible para el usuario.
  • Se abre la ventana "Ejecutar".
  • El script malicioso se pega en la ventana.
  • El código se ejecuta con los privilegios del usuario, descargando e instalando malware (como troyanos de acceso remoto o infostealers como Vidar Stealer, DarkGate y Lumma Stealer).

La clave de Clickfix es que engaña a las víctimas para que ejecuten el malware directamente en la memoria, sin la necesidad de descargas directas o ejecuciones manuales de archivos, lo que le permite evadir las medidas de seguridad del navegador y pasar desapercibido para el usuario.

¿Por qué es importante este informe?

El informe de amenazas de ESET H1 2025 proporciona información valiosa para comprender el panorama actual de la ciberseguridad y anticipar las tendencias futuras.

Conocer las amenazas emergentes y las técnicas utilizadas por los ciberdelincuentes es fundamental para proteger nuestros sistemas y datos. En un mundo cada vez más conectado, la ciberseguridad es una prioridad para las empresas y los usuarios particulares. Este informe te ayudará a estar al día y a tomar medidas preventivas.