De la misma manera en la que un robo a una joyerías se viralizó, parece pertinente seguirle los pasos al cibercrimen, que avanzar a pasos agigantados al ritmo de la tecnología y que tiene a los actores maliciosos en el desarrollo constante de nuevas tácticas para obtener información confidencial o beneficios económicos.
Precisamente, eso motivó a un aviso por parte de Eset, compañía líder en detección proactiva de amenazas, sobre una técnica relativamente reciente de ingeniería social conocida como ‘clickfix’.
¿Qué es el ‘clickfix’ en ciberseguridad?
‘Clickfix’ es una técnica de ingeniería social, documentada por primera vez a principio de 2024, utiliza ventanas emergentes que simulan problemas técnicos y manipulan a sus víctimas para que ejecuten ‘scripts’ maliciosos.
La excusa que se utiliza para contactar a las víctimas es que se necesita actualizar el navegador, que hay un error al abrir un documento, problemas con el micrófono en Google Meet o Zoom o, incluso, que se debe ingresar un captcha para continuar.
Primero, los cibercriminales obtienen permisos de administrador de los sitios web con credenciales robadas que les permiten instalar ‘plugins’ falsos en estos sitios. Los ‘plugins’ inyectan JavaScript malicioso, con una variante conocida de malware. Al ejecutarse en el navegador mostrará notificaciones de actualización del navegador, que inducirán a que las víctimas instalen malware en el equipo. Hablamos de troyanos de acceso remoto o ‘infostealers’ (Vidar Stealer, DarkGate y Lumma Stealer).
“La táctica ‘clickfix’ busca engañar a las personas para que descarguen el ‘malware’ y lo ejecuten sin la necesidad de una descarga directa desde el navegador ni alguna ejecución manual de archivos. El ‘malware’ se ejecuta en la memoria en vez de escribirse en el disco. Así, logra evadir los mecanismos de seguridad del navegador, y no levanta sospecha en los usuarios. Durante este tipo de ataque, los sitios comprometidos van mostrando falsas alertas, las cuales advierten que la página o documento no puede mostrarse hasta tanto el usuario haga clic en ‘Fix It’ y siga los pasos correspondientes. De hacerlo, el usuario termina ejecutando código malicioso e instalando malware, sin saberlo”, comentó Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.
¿Cómo identificar un engaño con ‘clickfix’?
Es importante mencionar que el llamado a la acción hacia la víctima puede variar: desde ‘Arreglar el problema’ a ‘Demuestra que eres humano’ (páginas falsas de CAPTCHA). Estos son algunos ejemplos de cómo se visualiza este ataque, en sitios maliciosos que suplantan la identidad de organizaciones como Google Chrome y Facebook.
Así, fue empleada en diversas campañas de distribución de malware, involucrando páginas webs comprometidas, infraestructuras maliciosas de distribución y hasta correos de phishing.
Según informa el Departamento de Salud y Servicios Humanos de los Estados Unidos en su análisis de la distribución de este malware, “los atacantes también podrían estar apuntando a usuarios que buscan juegos, lectores de PDF, navegadores Web3 y aplicaciones de mensajería”.
En mayo de 2025, se conoció una campaña en la que cibercriminales distribuían malware utilizando la técnica de ‘clickfix’, pero mediante videos de TikTok posiblemente generados con IA. Su objetivo era infectar los equipos con infostealers como Vidar y StealC, y llevar a sus víctimas a ejecutar comandos maliciosos en sus sistemas, con la excusa de que así podrían desbloquear funciones premium o bien activar software legítimo.
En marzo de ese año, una campaña denominada ClearFake se valió también de la técnica ‘clickfix’ para distribuir el malware del tipo Lumma Stealer y Vidar Stealer, esta vez mediante verificaciones falsas de reCAPTCHA y Cloudflare Turnstile
En octubre de 2024, a través de páginas falsas de Google Meet se distribuyeron ‘infostealers’ tanto en sistemas Windows como macOS, usando la técnica de ‘clickfix’.
La táctica es la ya mencionada: mostrar mensajes de un supuesto error en el navegador, para que la víctima ejecute un código malicioso de PowerShell. En un último ejemplo, aportado usuario en X, se advierte sobre controles de ‘bots’ falsos de Cloudflare, que ejecutan comandos si el usuario hace clic.
¿Cómo prevenir estafas por medio de ‘clickfix’?
Hay algunos aspectos claves que recomiendan los especialistas en ciberseguridad para no caer en las trampas de ‘clickfix’:
- Informarse: la educación sobre esta y otras tácticas de ingeniería social y phishing es clave para reconocerlas y no caer en la trampa.
- Contar con una solución ‘antimalware’: es el primer paso para estar protegido, siempre manteniéndose al día con las actualizaciones.
- Activar el doble factor de autenticación: es clave por si las credenciales de acceso de las cuentas caen en las manos equivocadas.
- Estar al día con las actualizaciones de sistemas operativos, softwares y aplicaciones.
“Además de los casos en Chile y Perú, también se han reportado casos en Argentina, Brasil, Colombia y México, lo que confirma la presencia de esta nueva técnica en América Latina”, aseguró el especialista de Eset.
¿Por qué se llama ‘clickfix’?
El nombre ‘clickfix’ se debe a que las notificaciones falsas, suelen contener un botón con una relación directa al verbo “to fix” (Fix it, How to fix, Fix). Aunque en realidad, se está ejecutando la descarga de malware. Estas instrucciones suelen ser:
- Hacer clic en el botón para copiar el código que “resuelve” el problema
- Presionar las teclas [Win] + [R]
- Presionar las teclas [Ctrl] + [V]
- Presionar [Enter]