Así como la tecnología avanza a pasos agigantados, el cibercrimen no se queda atrás. Los actores maliciosos desarrollan constantemente nuevas tácticas para obtener información confidencial o beneficios económicos. En este contexto, ESET, compañía líder en detección proactiva de amenazas, advierte sobre una técnica relativamente reciente de ingeniería social conocida como ClickFix, utilizada para distribuir malware en los dispositivos de las víctimas. ESET analiza de qué se trata esta técnica, cómo son sus ataques, y acerca ejemplos recientes en el mundo y casos que muestran su presencia en América Latina.
Clickfix es una técnica de ingeniería social, documentada por primera vez a principio de 2024, utiliza ventanas emergentes que simulan problemas técnicos y manipulan a sus víctimas para que ejecuten scripts maliciosos. La excusa que se utiliza para contactar a las víctimas es que se necesita actualizar el navegador, que hay un error al abrir un documento, problemas con el micrófono en Google Meet o Zoom o, incluso, que se debe ingresar un CAPTCHA para continuar.
Primero, los cibercriminales obtienen permisos de administrador de los sitios web con credenciales robadas que les permiten instalar plugins falsos en estos sitios. Los plugins inyectan JavaScript malicioso, con una variante conocida de malware. Al ejecutarse en el navegador mostrará notificaciones de actualización del navegador, que inducirán a que las víctimas instalen malware en el equipo. Hablamos de troyanos de acceso remoto o infostealers (Vidar Stealer, DarkGate y Lumma Stealer).
“La táctica clickfix busca engañar a las personas para que descarguen el malware y lo ejecuten sin la necesidad de una descarga directa desde el navegador ni alguna ejecución manual de archivos. El malware se ejecuta en la memoria en vez de escribirse en el disco. Así, logra evadir los mecanismos de seguridad del navegador, y no levanta sospecha en los usuarios. Durante este tipo de ataque, los sitios comprometidos van mostrando falsas alertas, las cuales advierten que la página o documento no puede mostrarse hasta tanto el usuario haga clic en “Fix It” y siga los pasos correspondientes. De hacerlo, el usuario termina ejecutando código malicioso e instalando malware, sin saberlo”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.
Es importante mencionar que el llamado a la acción hacia la víctima puede variar: desde “Arreglar el problema” a “Demuestra que eres humano” (páginas falsas de CAPTCHA).
Según informa el Departamento de Salud y Servicios Humanos de los Estados Unidos en su análisis de la distribución de este malware, “los atacantes también podrían estar apuntando a usuarios que buscan juegos, lectores de PDF, navegadores Web3 y aplicaciones de mensajería”.
En mayo de 2025, se conoció una campaña en la que cibercriminales distribuían malware utilizando la técnica de clickfix, pero mediante videos de TikTok posiblemente generados con IA. Su objetivo era infectar los equipos con infostealers como Vidar y StealC, y llevar a sus víctimas a ejecutar comandos maliciosos en sus sistemas, con la excusa de que así podrían desbloquear funciones premium o bien activar software legítimo.
En marzo de ese año, una campaña denominada ClearFake se valió también de la técnica clickfix para distribuir el malware del tipo Lumma Stealer y Vidar Stealer, esta vez mediante Verificaciones falsas de reCAPTCHA y Cloudflare Turnstile
En octubre de 2024, a través de páginas falsas de Google Meet se distribuyeron infostealers tanto en sistemas Windows como macOS, usando la técnica de clickfix. La táctica es la ya mencionada: mostrar mensajes de un supuesto error en el navegador, para que la víctima ejecute un código malicioso de PowerShell. En un último ejemplo, aportado usuario en X, se advierte sobre controles de bots falsos de Cloudflare, que ejecutan comandos si el usuario hace clic.
Entre los ejemplos vistos en América Latina se encuentra el de la Escuela de Ingeniería Industrial de la Universidad Católica de Chile. Un especialista compartió en abril 2025 en la red social X una campaña donde se observan los pasos que le son sugeridos a la víctima, para que termine infectándose con malware sin saberlo.
También se observó un caso relacionado al Fondo de Vivienda Policial de Perú. El sitio web de este organismo oficial peruano también se vio comprometido, confirmando la presencia de esta campaña en la región.
“Además de estos casos en Chile y Perú, también se han reportado casos en Argentina, Brasil, Colombia y México, lo que confirma la presencia de esta nueva técnica en América Latina”, agrega el especialista.
El nombre ClickFix se debe a que las notificaciones falsas, suelen contener un botón con una relación directa al verbo "to fix" (Fix it, How to fix, Fix). Aunque en realidad, se está ejecutando la descarga de malware. Estas instrucciones suelen ser:
1. Hacer clic en el botón para copiar el código que “resuelve” el problema
2. Presionar las teclas [Win] + [R]
3. Presionar las teclas [Ctrl] + [V]
4. Presionar [Enter]
Lo que sucede detrás de toda esta secuencia es, en realidad que en la primera indicación hace una copia de un script invisible para el usuario, la segunda abre la ventana Ejecutar, la tercera pega el script de PowerShell en la ventana Ejecutar y con el cuarto paso, el código se inicia con privilegios del usuario actual, y el malware se descarga e instala en el equipo.
Para no ser víctima de los ataques que involucran ClickFix, desde ESET comparten medidas concretas que se pueden aplicar. Por ejemplo:
• Informarse: la educación sobre esta y otras tácticas de ingeniería social y phishing es clave para reconocerlas y no caer en la trampa.
• Contar con una solución antimalware: es el primer paso para estar protegido, siempre manteniéndose al día con las actualizaciones.
• Activar el doble factor de autenticación: es clave por si las credenciales de acceso de las cuentas caen en las manos equivocadas.
• Estar al día con las actualizaciones de sistemas operativos, softwares y aplicaciones.
