{"id":31673,"date":"2025-12-02T15:41:17","date_gmt":"2025-12-02T13:41:17","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31673"},"modified":"2025-12-02T15:41:17","modified_gmt":"2025-12-02T13:41:17","slug":"filefix-attack-windows-file-explorer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/filefix-attack-windows-file-explorer\/31673\/","title":{"rendered":"FileFix: una nueva variaci\u00f3n de ClickFix"},"content":{"rendered":"

Hace poco hablamos sobre la t\u00e9cnica ClickFix<\/a>. Ahora, los atacantes han comenzado a implementar un nuevo giro que los investigadores denominaron \u201cFileFix\u201d. El principio central sigue siendo el mismo: usar t\u00e1cticas de ingenier\u00eda social con el fin de enga\u00f1ar a la v\u00edctima para que ejecute involuntariamente c\u00f3digo malicioso en su propio dispositivo. En esencia, la diferencia entre ClickFix y FileFix radica esencialmente en d\u00f3nde se ejecuta el comando.<\/p>\n

Con ClickFix, los atacantes convencen a la v\u00edctima de que abra el cuadro de di\u00e1logo Ejecutar de Windows y pegue un comando malicioso all\u00ed. Sin embargo, con FileFix, manipulan a la v\u00edctima para que pegue un comando en la barra de direcciones del Explorador de archivos de Windows. Desde la perspectiva del usuario, esta acci\u00f3n no parece inusual: la ventana del Explorador de archivos es un elemento familiar, por lo que es menos probable que su uso se perciba como peligroso. Por lo tanto, los usuarios que no est\u00e1n familiarizados con esta t\u00e1ctica en particular son bastante m\u00e1s propensos a caer en la trampa de FileFix.<\/p>\n

C\u00f3mo los atacantes manipulan a la v\u00edctima para que ejecute su c\u00f3digo<\/h2>\n

De manera similar a ClickFix, un ataque de FileFix comienza cuando se dirige a un usuario (en general, a trav\u00e9s de un correo electr\u00f3nico de phishing), a una p\u00e1gina que imita el sitio web de un servicio en l\u00ednea leg\u00edtimo. El sitio falso muestra un mensaje de error que impide el acceso a la funcionalidad normal del servicio. Para solucionarlo, se le indica al usuario que debe realizar una serie de pasos para un proceso de \u201cverificaci\u00f3n del entorno\u201d o \u201cdiagn\u00f3stico\u201d.<\/p>\n

Para hacer esto, se le dice al usuario que debe ejecutar un archivo espec\u00edfico que, seg\u00fan los atacantes, ya est\u00e1 en el ordenador de la v\u00edctima o se acaba de descargar. Todo lo que el usuario debe hacer es copiar la ruta al archivo local y pegarla en la barra de direcciones del Explorador de archivos de Windows. De hecho, el campo desde el que se indica al usuario que copie la cadena muestra la ruta al archivo, raz\u00f3n por la cual el ataque se denomina \u201cFileFix\u201d. Luego, se indica al usuario que abra el Explorador de archivos, pulse [CTRL] + [L] para centrarse en la barra de direcciones, pegue la \u201cruta del archivo\u201d con [CTRL] + [V] y pulse [INTRO].<\/p>\n

Aqu\u00ed est\u00e1 la trampa: la ruta del archivo visible solo muestra las \u00faltimas docenas de caracteres de un comando que es mucho m\u00e1s largo. Antes de la ruta del archivo hay una cadena de espacios, y antes de eso est\u00e1 la verdadera carga maliciosa que los atacantes pretenden ejecutar. Los espacios son fundamentales para garantizar que el usuario no vea nada sospechoso despu\u00e9s de pegar el comando. Como la cadena completa es bastante m\u00e1s larga que el \u00e1rea visible de la barra de direcciones, solo queda a la vista la ruta del archivo benigna. El contenido real solo se revela si la informaci\u00f3n se pega en un archivo de texto en lugar de en la ventana del Explorador de archivos. Por ejemplo, en un art\u00edculo de Bleeping Computer<\/a> basado en una investigaci\u00f3n de Expel, se descubri\u00f3 que el comando real iniciaba un script de PowerShell a trav\u00e9s de conhost.exe.<\/p>\n

\"Ejemplo<\/a>

El usuario cree que est\u00e1 pegando una ruta de archivo, pero el comando en realidad contiene un script de PowerShell. Fuente<\/a><\/p><\/div>\n

Qu\u00e9 sucede despu\u00e9s de que se ejecuta el script malicioso<\/h2>\n

Un script de PowerShell ejecutado por un usuario leg\u00edtimo puede causar problemas de muchas maneras. Todo depende de las pol\u00edticas de seguridad corporativas, los privilegios espec\u00edficos del usuario y la presencia de soluciones de seguridad en el ordenador de la v\u00edctima. En el caso<\/a> que hemos mencionado, el ataque utiliz\u00f3 una t\u00e9cnica denominada \u201ccache smuggling\u201d. El mismo sitio web falso que implement\u00f3 la trampa de FileFix guard\u00f3 un archivo en formato JPEG en la cach\u00e9 del navegador, pero el archivo comprimido en realidad conten\u00eda un archivo con malware. Luego, el script malicioso extrajo este malware y lo ejecut\u00f3 en el ordenador de la v\u00edctima. Este m\u00e9todo permite que la carga maliciosa final se env\u00ede al ordenador sin descargas de archivos evidentes o solicitudes de red sospechosas, lo que lo hace particularmente sigiloso.<\/p>\n

C\u00f3mo defender a tu empresa contra los ataques ClickFix y FileFix<\/h2>\n

En nuestra publicaci\u00f3n sobre la t\u00e9cnica de ataque ClickFix, sugerimos que la defensa m\u00e1s simple era bloquear la combinaci\u00f3n de teclas [Win] + [R] en los dispositivos de trabajo. Es muy raro que un empleado t\u00edpico de oficina realmente necesite abrir el cuadro de di\u00e1logo Ejecutar. En el caso de FileFix, la situaci\u00f3n es un poco m\u00e1s compleja: copiar un comando en la barra de direcciones es un comportamiento perfectamente normal del usuario.<\/p>\n

Bloquear el acceso directo [CTRL] + [L] no suele ser lo ideal por dos razones. En primer lugar, esta combinaci\u00f3n se utiliza con frecuencia en varias aplicaciones para diversos fines leg\u00edtimos. En segundo lugar, no ser\u00eda de mucha ayuda, ya que los usuarios a\u00fan pueden acceder a la barra de direcciones del Explorador de archivos haciendo clic en ella con el rat\u00f3n. Los atacantes suelen proporcionar instrucciones detalladas a los usuarios si el atajo del teclado falla.<\/p>\n

Por lo tanto, para una defensa verdaderamente eficaz contra ClickFix, FileFix y estrategias similares, recomendamos, ante todo, implementar una soluci\u00f3n de seguridad fiable<\/a> en todos los dispositivos de trabajo de los empleados que pueda detectar y bloquear la ejecuci\u00f3n de c\u00f3digo peligroso a tiempo.<\/p>\n

En segundo lugar, recomendamos concienciar peri\u00f3dicamente a los empleados sobre las ciberamenazas modernas, en particular los m\u00e9todos de ingenier\u00eda social empleados en los escenarios de ClickFix y FileFix. Kaspersky Automated Security Awareness Platform<\/a> puede ayudar a automatizar la formaci\u00f3n de los empleados.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Los atacantes han comenzado a utilizar una nueva variante de la t\u00e9cnica ClickFix, denominada “FileFix”. Te explicamos c\u00f3mo funciona y c\u00f3mo defender a tu empresa contra ella.<\/p>\n","protected":false},"author":2726,"featured_media":31678,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[378,3717,1272,3744,614,2518,23],"class_list":{"0":"post-31673","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-amenazas","11":"tag-clickfix","12":"tag-empresa","13":"tag-filefix","14":"tag-ingenieria-social","15":"tag-navegadores","16":"tag-windows"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/filefix-attack-windows-file-explorer\/31673\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/filefix-attack-windows-file-explorer\/29814\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/24884\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/13034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/filefix-attack-windows-file-explorer\/29701\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/28791\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/filefix-attack-windows-file-explorer\/30319\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/filefix-attack-windows-file-explorer\/40857\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/filefix-attack-windows-file-explorer\/14081\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/54752\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/filefix-attack-windows-file-explorer\/23419\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/filefix-attack-windows-file-explorer\/32969\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/filefix-attack-windows-file-explorer\/29938\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/filefix-attack-windows-file-explorer\/35648\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/filefix-attack-windows-file-explorer\/35276\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ingenieria-social\/","name":"ingenier\u00eda social"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=31673"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31673\/revisions"}],"predecessor-version":[{"id":31681,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31673\/revisions\/31681"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/31678"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=31673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=31673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=31673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}