ClickFix usa alertas falsas para que el usuario instale malware sin saberlo. Ya circula en varios países de Latinoamérica, incluyendo Colombia.
El mundo digital no da tregua en su evolución, y con él, las amenazas informáticas se perfeccionan para ser cada vez más imperceptibles. Una reciente técnica de ingeniería social, conocida como ClickFix, ha encendido las alarmas en América Latina tras ser utilizada para distribuir malware en países como Colombia, Chile, Perú, Argentina, Brasil y México.
Detectada por ESET, empresa referente en seguridad informática, ClickFix se vale de alertas falsas incrustadas en sitios web comprometidos que simulan errores técnicos del navegador, con el objetivo de que el usuario ejecute comandos maliciosos creyendo que está solucionando un problema.
ClickFix: así engañan a los usuarios con solo un clic
El método es simple, pero eficaz. Los cibercriminales acceden a sitios web con credenciales robadas, instalan plugins maliciosos e inyectan código JavaScript que lanza falsas notificaciones. Algunas de las excusas utilizadas son actualizaciones pendientes del navegador, errores en Google Meet o Zoom, o captchas que “demuestran” que el usuario no es un bot.
Te puede interesar: Desafíos de ciberseguridad al usar 5G: ¿Cómo proteger nuestra conectividad?
El mensaje suele contener un botón con textos como “Fix It”, “Solve now” o “Demuestra que eres humano”, que al ser presionado inicia una secuencia que culmina con la ejecución de un script malicioso en el equipo de la víctima, sin que esta descargue ningún archivo ni detecte actividad sospechosa.
El código que se copia y ejecuta suele descargar troyanos de acceso remoto o infostealers, como Vidar Stealer, Lumma Stealer, DarkGate o StealC, capaces de robar credenciales, datos bancarios y más. Lo preocupante es que todo esto ocurre en la memoria del sistema, sin dejar rastros visibles ni ser detectado por algunos antivirus tradicionales.
Casos reales de ClickFix en América Latina
Durante el primer semestre de 2025, se identificaron campañas activas de ClickFix en sitios oficiales y académicos. Por ejemplo, en Chile se detectó una campaña en la web de la Escuela de Ingeniería Industrial de la Universidad Católica, mientras que en Perú fue afectado el Fondo de Vivienda Policial. Ambos casos mostraban falsas alertas de navegador que inducían a ejecutar scripts maliciosos.
La técnica también ha sido usada en videos de TikTok posiblemente generados con IA, donde se prometen funciones premium desbloqueadas o activaciones de software legítimo. A través de estos señuelos, el usuario era conducido a copiar y ejecutar comandos que activaban el malware.
En otro caso, la campaña ClearFake, registrada en marzo, combinó la técnica ClickFix con falsas verificaciones de reCAPTCHA y Cloudflare Turnstile para distribuir Vidar y Lumma Stealer.
Cómo protegerse de la amenaza de ClickFix
ESET advierte que el éxito de estas campañas se basa en la falta de conocimiento del usuario y la confianza excesiva en las interfaces web. Por eso, recomienda:
- Estar informados: Reconocer alertas falsas es clave. Dudar de mensajes que piden ejecutar comandos.
- Usar software de seguridad actualizado: Las soluciones antimalware deben estar siempre activas y al día.
- Actualizar sistemas y navegadores: Las versiones antiguas pueden ser vulnerables a este tipo de ataques.
- No ejecutar comandos sin verificar su origen: Incluso si parecen inofensivos, pueden comprometer el sistema.
- Activar la verificación en dos pasos: Esto previene accesos no autorizados a cuentas robadas.
ClickFix es un ejemplo más de cómo la ingeniería social sigue siendo una de las herramientas más eficaces del cibercrimen. La clave está en mantenerse alerta, desconfiar de lo que parece urgente o extraño, y nunca ejecutar comandos sin entender su propósito.
