ClickFix, la estafa

ClickFix

En 2024–2025, la técnica de ingeniería social conocida como ClickFix se consolida como un vector frecuente de intrusión. 

No explota fallos del sistema, sino hábitos humanos: convencer a la víctima para que copie y pegue instrucciones “de reparación” en su propio equipo (PowerShell, Terminal, cuadro Ejecutar) tras ver un falso error o CAPTCHA. La pregunta clave para la prevención es: ¿quién está cayendo?

Perfiles y contextos más afectados

• Empleados de oficina y usuarios corporativos que reciben correos con HTML adjunto y terminan en páginas que piden “arreglar” la vista o “verificar” identidad. Microsoft observa campañas que instalan loaders como DarkGate tras el pegado de comandos. 
• Personal y clientes en entornos de reservas/servicios (p. ej., confirmaciones de reserva o supuestas incidencias de pago) que llegan a una página tipo CAPTCHA y, después, a la orden de “copiar este código para continuar”. Barracuda documenta variantes con lenguaje emocional (“pierdes el dinero si no verificas ahora”). 
• Candidatos en procesos de selección (entrevistas virtuales). En Dark Reading se describe cómo, tras pedir activar cámara, aparece un “error” que empuja a hacer clic en “fix”, lo que desencadena descargadores o stealers (FrostyFerret, GolangGhost). 
• Sector salud (hospitales y clínicas). El centro HC3 del HHS alerta de ClickFix como táctica que emerge en sitios comprometidos, orientada a personal clínico y administrativo que busca abrir documentos o visualizar portales. 
• Pymes y usuarios no técnicos. Informes de defensa gestionada y concienciación señalan que la técnica “se ve por todas partes” en 2025, aprovechando navegación cotidiana y anuncios maliciosos. 
• Entornos de alto valor (diplomacia, think tanks, crítica). Proofpoint y coberturas derivadas observan el uso de ClickFix por actores estatales (Corea del Norte, Irán, Rusia) como sustituto del paso de descarga tradicional en campañas de espionaje. 

Qué se observa en las víctimas

1. Interacción precipitada con la interfaz (urgencia, miedo a perder una reunión o un pago), lo que normaliza el “copiar/pegar para arreglar”. 
2. Confianza en páginas “legítimas” alcanzadas por redirecciones desde webs comprometidas o malvertising: la víctima cree seguir en un flujo normal y ejecuta el paso “técnico”. 
3. Controles tradicionales sin evento de descarga: al no existir adjunto inicial, parte del filtrado clásico no se activa; el “evento clave” es humano (pegar y ejecutar). 

Casos y cifras recientes

• Microsoft rastrea campañas (mar–jun 2024) con adjuntos HTML que desembocan en ClickFix y acaban instalando DarkGate en entornos corporativos. 
• eSecurity Planet estima un aumento cercano al 400 % interanual en campañas tipo ClickFix detectadas en 2025. 
• Dark Reading recoge compromisos durante falsas entrevistas técnicas con descarga de stealers y backdoors. 
• Proofpoint y TechRadar señalan  adopción por grupos vinculados a Estados, orientado a espionaje contra diplomáticos y organizaciones críticas. 

Prevención mínima (centrada en el “quién cae”)

• Política explícita “no copiar/pegar comandos” desde la web para personal no técnico.
• Bloqueo o restricción de consolas (PowerShell modo restringido, AppleScript/Terminal por rol) en puestos de usuario final. 
• Concienciación situacional para colectivos más expuestos (RR. HH., atención al cliente, reservas, sanitario, diplomacia): ejemplos reales de CAPTCHA/“fix” falsos. 

---

Fuentes

• Dark Reading. (2025, 6 de junio). Cutting-Edge ClickFix Tactics Snowball, Evolving Phishing. https://www.darkreading.com/remote-workforce/cutting-edge-clickfix-snowball-phishing
• TechRadar Pro. (2025, 17 de abril). State-sponsored actors spotted using ClickFix…. https://www.techradar.com/pro/security/state-sponsored-actors-spotted-using-clickfix-hacking-tool-developed-by-criminals 
•  https://www.esecurityplanet.com/news/clickfix-phishing-surges-2025/ 

Cibermuro · Seguridad digital sencilla 🇪🇸

```23