ClickFix: La ingeniería social que compromete tu dispositivo con un simple clic

Descubre ClickFix, la técnica de ingeniería social que engaña a usuarios para ejecutar comandos maliciosos. Te explicamos cómo funciona y cómo protegerte.

Cristian Do Carmo Rodríguez
22 de ago. de 2025
5 min de lectura
PrivacidadSeguridadSoftwareOrdenadores

En el mundo de la ciberseguridad, los ataques evolucionan constantemente. Una de las técnicas que ha ganado popularidad en el último año es ClickFix. Esta forma de ingeniería social engaña a los usuarios para que ejecuten comandos maliciosos en sus propios dispositivos, lo que puede llevar al robo de información y a la exfiltración de datos. ¿Quieres saber cómo funciona y cómo puedes protegerte? ¡Sigue leyendo!

¿Qué es ClickFix y cómo funciona?

ClickFix se basa en la tendencia de los usuarios a solucionar pequeños problemas técnicos o a interactuar con elementos aparentemente benignos, como verificaciones de seguridad o CAPTCHAs. Los atacantes te dan instrucciones para que copies, pegues y ejecutes comandos directamente en la ventana de Ejecutar de Windows, en el Terminal o en PowerShell. ¡Ojo, que esto es peligroso!

Normalmente, ClickFix se combina con otras técnicas como el phishing, el malvertising (publicidad maliciosa) o la infección de sitios web. Para que la trampa sea más efectiva, los atacantes suelen imitar a marcas y organizaciones legítimas, así reduces las sospechas.

a close up of a key

¿Por qué ClickFix es tan efectivo?

Lo que hace que ClickFix sea especialmente peligroso es que depende de la intervención humana. Al ser tú quien ejecuta los comandos, se salta las soluciones de seguridad automatizadas. Por eso, la concienciación y la formación de los usuarios son cruciales para evitar caer en esta trampa.

El ataque ClickFix paso a paso

Un ataque ClickFix típico sigue estos pasos:

  1. Engaño inicial: Los atacantes utilizan correos electrónicos de phishing, anuncios maliciosos o sitios web comprometidos para dirigir a la víctima a una página web con un señuelo visual.
  2. Manipulación: La página web intenta convencerte de que ejecutes un comando malicioso.
  3. Ejecución: Si caes en la trampa y ejecutas el comando, se descarga malware en tu dispositivo.

Los atacantes están constantemente mejorando esta técnica para evitar ser detectados. Por ejemplo, ofuscan el código JavaScript que genera los señuelos visuales o descargan partes del código desde diferentes servidores. También utilizan diversas tácticas para ocultar los comandos maliciosos.

a close up of a computer screen with code code on it

¿Qué malware se distribuye con ClickFix?

Se ha estudiado que los atacantes utilizan ClickFix para distribuir diferentes tipos de malware, entre ellos:

  • Ladrones de información: Como LummaStealer, que es uno de los payloads más comunes en ataques ClickFix.
  • Herramientas de acceso remoto (RATs): Como Xworm, AsyncRAT, NetSupport y SectopRAT, que permiten a los atacantes controlar tu dispositivo de forma remota.
  • Loaders: Como Latrodectus y MintsLoader, que descargan malware adicional.
  • Rootkits: Como una versión modificada de r77, que permite a los atacantes esconderse en tu sistema y evadir la detección.

Este malware suele ser fileless, es decir, no se guarda en el disco duro como un archivo .exe o .dll. En su lugar, se ejecuta directamente en la memoria utilizando herramientas legítimas del sistema (LOLBins).

Cómo te intentan engañar: Vectores de ataque

Los atacantes utilizan diferentes métodos para llevarte a una página web ClickFix:

  • Phishing: Correos electrónicos fraudulentos que te animan a hacer clic en un enlace o abrir un archivo adjunto.
  • Malvertising: Anuncios maliciosos que te redirigen a una página ClickFix cuando haces clic en ellos.
  • Sitios web comprometidos: Páginas web legítimas que han sido infectadas con código malicioso que te redirige a una página ClickFix.
the screen of a laptop with the windows security button highlighted

Caso práctico: Campaña de malware Lampion

Para entender mejor cómo funciona ClickFix, veamos un ejemplo real: la campaña de malware Lampion, que se dirigió a organizaciones portuguesas en los sectores de gobierno, finanzas y transporte.

Esta campaña utilizaba correos electrónicos de phishing con archivos ZIP que redirigían a los usuarios a una página web falsa de la autoridad tributaria portuguesa. Allí, se les engañaba para que ejecutaran un comando de PowerShell que descargaba un script malicioso.

Este script realizaba varias acciones, como recopilar información del sistema, comprobar si había antivirus o entornos de pruebas, y enviar datos a un servidor de control. Finalmente, intentaba descargar el malware Lampion, un ladrón de información bancaria.

Por dentro de ClickFix: Implementaciones

Los operadores de ClickFix utilizan varios trucos para convencerte de que ejecutes comandos maliciosos. Algunas páginas imitan errores de Google Chrome o mensajes de falta de extensiones de Word Online. Otras imitan a reCAPTCHA de Google o Turnstile de Cloudflare. Incluso hemos visto imitaciones de redes sociales como Discord.

Ejemplos de implementaciones ClickFix

  • Imitación de Cloudflare: Muestra una página de verificación de Cloudflare falsa que te pide que hagas clic en una casilla. Al hacerlo, copia un comando malicioso al portapapeles.
  • Imitación de plataformas sociales: Muestra una página que imita a Discord y te pide que verifiques tu cuenta antes de unirte a un servidor. Al hacer clic en el botón de verificación, copia un comando malicioso al portapapeles.
woman in white shirt sitting on chair

Más allá de Windows: ClickFix también ataca macOS

Aunque ClickFix se ha visto más en ataques a Windows, también se está utilizando para atacar a usuarios de macOS. En una campaña reciente, los atacantes redirigían a los usuarios a páginas ClickFix que imitaban a Spectrum, una empresa de servicios de cable e internet de EE.UU.

En estas páginas, se mostraban instrucciones para solucionar un problema, ¡incluso en dispositivos macOS se mostraban instrucciones para Windows! Mientras tanto, se copiaba un comando malicioso al portapapeles. Este comando, diferente para macOS y Windows, descargaba e instalaba el malware Atomic macOS Stealer (AMOS), que roba información personal como contraseñas y datos de billeteras de criptomonedas.

¿Cómo protegerte de ClickFix?

La mejor defensa contra ClickFix es la prevención. Aquí tienes algunos consejos:

  • Sospecha de los correos electrónicos y mensajes inesperados: No hagas clic en enlaces ni abras archivos adjuntos de fuentes desconocidas.
  • Verifica la legitimidad de los sitios web: Comprueba que la URL sea correcta y que el sitio tenga un certificado de seguridad válido (el candado en la barra de direcciones).
  • No ejecutes comandos que no entiendas: Si un sitio web te pide que copies y pegues un comando en la ventana de Ejecutar o en la terminal, ¡no lo hagas! Investiga primero o consulta con un experto.
  • Mantén tu software actualizado: Instala las últimas actualizaciones de seguridad de tu sistema operativo y de tus aplicaciones.
  • Utiliza un software de seguridad confiable: Un buen antivirus o suite de seguridad puede detectar y bloquear páginas web y archivos maliciosos.
  • Activa la protección contra phishing y malware en tu navegador: La mayoría de los navegadores modernos tienen funciones de seguridad integradas que te protegen de sitios web peligrosos.
  • Forma a tus empleados: La concienciación y la formación son clave para evitar que los usuarios caigan en la trampa de ClickFix.

Conclusión

ClickFix es una técnica de ingeniería social cada vez más utilizada por los ciberdelincuentes. Al depender de la intervención humana, puede saltarse las soluciones de seguridad automatizadas. Por eso, es fundamental que estés informado y que tomes medidas para protegerte. ¡No te dejes engañar por un simple clic!