{"id":31917,"date":"2026-03-12T11:26:41","date_gmt":"2026-03-12T09:26:41","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31917"},"modified":"2026-03-12T11:26:41","modified_gmt":"2026-03-12T09:26:41","slug":"clickfix-attack-variations","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/clickfix-attack-variations\/31917\/","title":{"rendered":"Variaciones del ataque ClickFix"},"content":{"rendered":"

Hace aproximadamente un a\u00f1o, hicimos una publicaci\u00f3n<\/a> sobre la t\u00e9cnica ClickFix, que estaba ganando popularidad entre los atacantes. La esencia de los ataques con ClickFix se reduce a convencer a la v\u00edctima, con varios pretextos, de que ejecute un comando malicioso en su equipo. Es decir, desde el punto de vista de las soluciones de ciberseguridad, se ejecuta en nombre del usuario activo y con sus privilegios.<\/p>\n

En los primeros usos de esta t\u00e9cnica, los ciberdelincuentes intentaban convencer a las v\u00edctimas de que necesitaban ejecutar un comando para solucionar alg\u00fan problema o pasar un captcha<\/a> y, en la gran mayor\u00eda de los casos, el comando malicioso era un script de PowerShell. Sin embargo, desde entonces, los atacantes han ideado una serie de nuevos trucos sobre los que se debe advertir a los usuarios, as\u00ed como una serie de nuevas variantes de entrega de carga \u00fatil maliciosa, que tambi\u00e9n vale la pena vigilar.<\/p>\n

Uso de mshta.exe<\/em><\/h2>\n

El a\u00f1o pasado, los expertos de Microsoft publicaron un informe<\/a> sobre ciberataques dirigidos a los propietarios de hoteles que trabajan con Booking.com. Los atacantes enviaron notificaciones falsas del servicio o correos electr\u00f3nicos que pretend\u00edan ser de hu\u00e9spedes que llamaban la atenci\u00f3n sobre una revisi\u00f3n. En ambos casos, el correo electr\u00f3nico conten\u00eda un enlace a un sitio web que imitaba a Booking.com, que le ped\u00eda a la v\u00edctima que demostrara que no era un robot mediante la ejecuci\u00f3n de un c\u00f3digo a trav\u00e9s del men\u00fa Ejecutar.<\/p>\n

Hay dos diferencias clave entre este ataque y ClickFix. Primero, no se le pide al usuario que copie la cadena (despu\u00e9s de todo, una cadena con c\u00f3digo a veces despierta sospechas). El sitio malicioso lo copia al b\u00fafer de intercambio, probablemente cuando el usuario hace clic en una casilla de verificaci\u00f3n que imita el mecanismo reCAPTCHA. En segundo lugar, la cadena maliciosa llama a la utilidad leg\u00edtima mshta.exe<\/em>, que sirve para ejecutar aplicaciones escritas en HTML. Se pone en contacto con el servidor de los atacantes y ejecuta la carga \u00fatil maliciosa.<\/p>\n

V\u00eddeo en TikTok y PowerShell con privilegios de administrador<\/h2>\n

En octubre de 2025, BleepingComputer public\u00f3 un art\u00edculo<\/a> sobre una campa\u00f1a que difunde malware a trav\u00e9s de instrucciones en v\u00eddeos de TikTok. Los v\u00eddeos imitan v\u00eddeos tutoriales sobre c\u00f3mo activar software patentado de forma gratuita. El consejo que dan se reduce a la necesidad de ejecutar PowerShell con derechos de administrador y luego ejecutar el comando iex (irm {address})<\/em>. Aqu\u00ed, el comando irm descarga un script malicioso de un servidor controlado por atacantes y el comando iex<\/em> (Invoke-Expression) lo ejecuta. El script, a su vez, descarga un malware de robo de informaci\u00f3n al equipo de la v\u00edctima.<\/p>\n

Uso del protocolo Finger<\/h2>\n

Otra variante inusual del ataque ClickFix usa<\/a> el conocido truco de captcha, pero el script malicioso usa el protocolo Finger<\/a> desactualizado. La utilidad del mismo nombre permite a cualquiera solicitar datos sobre un usuario espec\u00edfico en un servidor remoto. El protocolo se usa raramente hoy en d\u00eda, pero a\u00fan es compatible con Windows, macOS y varios sistemas basados en Linux.<\/p>\n

Se persuade al usuario para que abra la interfaz de l\u00ednea de comandos y la use para ejecutar un comando que establece una conexi\u00f3n a trav\u00e9s del protocolo Finger (mediante el uso del puerto TCP 79) con el servidor de los atacantes. El protocolo solo transfiere informaci\u00f3n de texto, pero esto es suficiente para descargar otro script en el equipo de la v\u00edctima, que luego instala el malware.<\/p>\n

Variante CrashFix<\/h2>\n

Otra variante de ClickFix se diferencia en que utiliza una ingenier\u00eda social m\u00e1s sofisticada. Se utiliz\u00f3 en un ataque<\/a> a usuarios que intentaban encontrar una herramienta para bloquear banners publicitarios, rastreadores, malware y otro contenido no deseado en p\u00e1ginas web. Al buscar una extensi\u00f3n adecuada para Google Chrome, las v\u00edctimas encontraron algo llamado NexShield \u2013 Advanced Web Guardian<\/em>, que en realidad era un clon de un software leg\u00edtimo en funcionamiento, pero que en cierto momento bloqueaba el navegador y mostraba una notificaci\u00f3n falsa sobre un problema de seguridad detectado y la necesidad de ejecutar un \u201can\u00e1lisis\u201d para corregir el error. Si el usuario aceptaba, recib\u00eda instrucciones sobre c\u00f3mo abrir el men\u00fa Ejecutar y ejecutar un comando que la extensi\u00f3n hab\u00eda copiado previamente en el portapapeles.<\/p>\n

El comando copi\u00f3 el archivo finger.exe<\/em> familiar en un directorio temporal, lo renombr\u00f3 ct.exe<\/em> y luego lo lanz\u00f3 con la direcci\u00f3n del atacante. El resto del ataque fue el mismo que en el caso antes mencionado. En respuesta a la solicitud del protocolo Finger, se entreg\u00f3 un script malicioso, que lanz\u00f3 e instal\u00f3 un troyano de acceso remoto (en este caso, ModeloRAT).<\/p>\n

Entrega de malware mediante b\u00fasqueda de DNS<\/h2>\n

El equipo de Inteligencia frente a Amenazas de Microsoft tambi\u00e9n comparti\u00f3<\/a> una variante de ataque de ClickFix un poco m\u00e1s compleja de lo habitual. Desafortunadamente, no describieron el truco de la ingenier\u00eda social, pero el m\u00e9todo de entregar la carga \u00fatil maliciosa es bastante interesante. Probablemente para complicar la detecci\u00f3n del ataque en un entorno corporativo y prolongar la vida de la infraestructura maliciosa, los atacantes utilizaron un paso adicional: contactar a un servidor DNS controlado por los atacantes.<\/p>\n

Es decir, despu\u00e9s de que se persuade de alguna manera a la v\u00edctima para que copie y ejecute un comando malicioso, se env\u00eda una solicitud al servidor DNS en nombre del usuario a trav\u00e9s de la utilidad nslookup<\/em> leg\u00edtima, donde se solicitan datos para el dominio example.com<\/em>. El comando conten\u00eda la direcci\u00f3n de un servidor DNS espec\u00edfico controlado por los atacantes. Este devuelve una respuesta que, entre otras cosas, devuelve una cadena con un script malicioso, que a su vez descarga la carga \u00fatil final (en este ataque, ModeloRAT nuevamente).<\/p>\n

Cebo de criptomonedas y JavaScript como carga \u00fatil<\/h2>\n

La siguiente variante de ataque<\/a> es interesante por su ingenier\u00eda social de m\u00faltiples etapas. En los comentarios sobre Pastebin, los atacantes difundieron activamente un mensaje sobre un supuesto fallo en el servicio de intercambio de criptomonedas Swapzone.io<\/em>. Se invitaba a los propietarios de criptomonedas a visitar un recurso creado por estafadores, que conten\u00eda instrucciones completas sobre c\u00f3mo aprovechar esta vulnerabilidad, que pod\u00eda generar hasta 13\u00a0000\u00a0USD en un par de d\u00edas.<\/p>\n

Las instrucciones explican c\u00f3mo se pueden aprovechar los fallos del servicio para intercambiar criptomonedas a una tasa m\u00e1s favorable. Para hacer esto, la v\u00edctima debe abrir el sitio web del servicio en el navegador Chrome, escribir manualmente \u201cjavascript:\u201d en la barra de direcciones y, luego, pegar el script de JavaScript copiado del sitio web de los atacantes y ejecutarlo. En realidad, por supuesto, el script no puede afectar a los tipos de cambio de ninguna manera; simplemente reemplaza las direcciones de la cartera Bitcoin y, si la v\u00edctima realmente intenta intercambiar algo, transfiere los fondos a las cuentas de los atacantes.<\/p>\n

C\u00f3mo proteger tu empresa de los ataques ClickFix<\/h2>\n

Los ataques m\u00e1s simples que utilizan la t\u00e9cnica ClickFix pueden contrarrestarse bloqueando la combinaci\u00f3n de teclas [Win]<\/strong>+ [R]<\/strong> en dispositivos de trabajo. Pero, como vemos en los ejemplos enumerados, este est\u00e1 lejos de ser el \u00fanico tipo de ataque en el que se solicita a los usuarios que ejecuten ellos mismos c\u00f3digos maliciosos.<\/p>\n

Por ello, el principal consejo es concienciar a los empleados sobre la ciberseguridad. Deben comprender claramente que si alguien les pide que realicen manipulaciones inusuales en el sistema o copien y peguen c\u00f3digo en alg\u00fan lugar, en la mayor\u00eda de los casos se trata de una estafa utilizada por los ciberdelincuentes. La formaci\u00f3n en concienciaci\u00f3n sobre seguridad se puede organizar a trav\u00e9s de Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n

Adem\u00e1s, para protegerte contra estos ciberataques, te recomendamos lo siguiente:<\/p>\n