Alerta en Latinoamérica por ClickFix, la técnica que engaña a miles con falsos parches de seguridad

En un entorno digital cada vez más sofisticado, las amenazas cibernéticas también evolucionan. La compañía de seguridad informática ESET ha emitido una advertencia sobre una técnica relativamente nueva y altamente peligrosa que ya está haciendo estragos en Latinoamérica.

Se trata de ClickFix, una modalidad de ingeniería social utilizada para distribuir malware sin que los usuarios lo noten. Documentada por primera vez a inicios de 2024, ClickFix se basa en un principio simple pero eficaz, la manipulación de la confianza del usuario.

Aprovechando ventanas emergentes que simulan errores técnicos o solicitudes legítimas de servicios como Google Meet, Zoom o incluso sistemas CAPTCHA, los ciberdelincuentes inducen a las víctimas a ejecutar scripts maliciosos en sus dispositivos. Todo esto sin necesidad de descargar un archivo ni de ejecutar un instalador tradicional.

El ataque comienza cuando los delincuentes comprometen páginas web utilizando credenciales robadas de administradores. Una vez dentro, instalan plugins falsos que inyectan código JavaScript malicioso.

Este código genera ventanas emergentes diseñadas para parecer legítimas, indicando problemas como fallos del navegador o errores al cargar documentos.

En lugar de una descarga directa, el malware se ejecuta en la memoria del dispositivo, lo que permite evadir muchos sistemas de seguridad tradicionales y pasar desapercibido para el usuario.

Las instrucciones que aparecen suelen ser del tipo “Fix it” o “How to fix”, instando a los usuarios a realizar una secuencia de pasos: copiar un código, abrir la consola de ejecución (Win+R), pegar el código (Ctrl+V) y ejecutarlo (Enter). Lo que en realidad ocurre es la activación de un script de PowerShell que instala el malware en el equipo.

Entre los malwares más comunes distribuidos por esta técnica están los infostealers como Vidar Stealer, DarkGate y Lumma Stealer, diseñados para robar información confidencial como credenciales, historiales de navegación y datos bancarios.

La táctica ya ha sido vista en múltiples campañas a nivel mundial. En octubre de 2024, se utilizó una falsa página de Google Meet para distribuir malware tanto en sistemas Windows como macOS.

En marzo de 2025, la campaña ClearFake implementó ClickFix mediante páginas con falsas verificaciones de reCAPTCHA y Cloudflare Turnstile. Incluso videos de TikTok generados con IA han sido utilizados para atraer a usuarios desprevenidos y llevarlos a ejecutar el script malicioso.

En América Latina, el impacto de ClickFix ya es evidente. En abril de 2025, un investigador de ciberseguridad detectó la técnica en la página web de la Escuela de Ingeniería Industrial de la Universidad Católica de Chile.

Poco después, se reportó un ataque similar en el sitio del Fondo de Vivienda Policial del Perú. Casos adicionales han sido confirmados en Argentina, Brasil, Colombia y México, lo que demuestra la rápida expansión regional de esta amenaza.

Ante este escenario, ESET recomienda una serie de medidas preventivas para evitar ser víctima de ClickFix:

• Educarse sobre ingeniería social: conocer las tácticas utilizadas por los cibercriminales es el primer paso para reconocer un intento de engaño.
• Mantener actualizado el software: tanto el sistema operativo como los navegadores y demás aplicaciones deben estar al día para evitar vulnerabilidades.
• Instalar soluciones antimalware confiables: es fundamental contar con protección activa que pueda detectar amenazas antes de que causen daño.
• Habilitar el doble factor de autenticación: en caso de que una cuenta sea comprometida, esta medida puede evitar accesos no autorizados.

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, señala que “la técnica ClickFix representa una evolución peligrosa del phishing tradicional, porque ahora el usuario no necesita descargar un archivo ni hacer clic en un enlace; basta con seguir instrucciones aparentemente inofensivas”.

En un contexto donde las amenazas digitales ya no distinguen entre usuarios comunes, empresas o instituciones públicas, estar informados es clave. La sofisticación de técnicas como ClickFix deja en claro que la seguridad digital no es opcional, sino una prioridad para todos los que interactúan en línea.