En un mundo donde el malware es cada vez más sofisticado, algunos de los grupos de hackers más temidos están volviendo a lo básico: convencerte de que te infectes tú mismo. Así funciona ClickFix, una técnica de engaño que ya está siendo usada por grupos respaldados por Corea del Norte, Irán y Rusia.
Así funciona ClickFix, una técnica de engaño que ya está siendo usada por grupos respaldados por Corea del Norte, Irán y Rusia.
¿Qué es ClickFix y por qué está arrasando?
ClickFix es una táctica de ingeniería social en la que los atacantes crean páginas web falsas que simulan ser plataformas legítimas: Google Drive, Microsoft Word, instaladores, etc.
El truco está en mostrar un mensaje de error falso (por ejemplo, “no se pudo descargar el archivo”) junto a un botón para “arreglarlo”.
Al hacer clic, la víctima es instruida para ejecutar manualmente un comando en PowerShell o terminal activando el malware en su propio equipo.
Los protagonistas de la historia: Hackers respaldados por Estados
Kimsuky (Corea del Norte)
Entre enero y febrero de 2025, atacaron think tanks especializados en políticas sobre Corea del Norte.
El método: correos que parecían venir de diplomáticos japoneses, con PDFs maliciosos que llevaban a una página falsa para “registrar el dispositivo”.
La trampa consistía en copiar un comando en PowerShell que descargaba QuasarRAT, establecía persistencia con tareas programadas y mostraba un PDF falso para despistar. ️
MuddyWater (Irán)
En noviembre de 2024, apuntaron a 39 organizaciones en Medio Oriente con correos que simulaban ser alertas de seguridad de Microsoft. La víctima debía ejecutar un comando como administrador para aplicar un “parche crítico”.
En realidad, esto instalaba Level, una herramienta de acceso remoto perfecta para espionaje continuo.
UNK_RemoteRogue (Rusia)
En diciembre de 2024, atacaron empresas conectadas con la industria armamentística.
Enviaron enlaces desde servidores comprometidos que llevaban a una página falsa de Microsoft Word… ¡con instrucciones en ruso y video tutorial incluido!
¿El resultado? Ejecución de PowerShell a través de JavaScript, conectando con un servidor que corría el framework Empire.
APT28 (también Rusia)
Ya en octubre de 2024, este grupo del GRU usó ClickFix con correos que simulaban hojas de cálculo de Google. La víctima atravesaba un falso paso de reCAPTCHA y recibía instrucciones para ejecutar comandos PowerShell.
Sin saberlo, montaban un túnel SSH y activaban Metasploit, dejando una puerta trasera activa en su sistema.
¿Por qué sigue funcionando esto en 2025?
Porque la mayoría de la gente aún copia y pega comandos sin entenderlos y si la web parece legítima y el mensaje urgente, el engaño es más fácil de lo que creemos.
ClickFix no necesita vulnerabilidades técnicas: necesita tu ingenuidad.
¿Cómo evitar caer en la trampa? ️
- Jamás ejecutes comandos que no entiendes, sobre todo si vienen de correos o webs que no pediste.
- Desconfía de errores que ofrecen soluciones mágicas con un botón.
- Usa soluciones de seguridad con protección antiphishing y monitoreo de scripts.
- Y ante la duda… pregunta antes de ejecutar.