ClickFix y FileFix: La mutación silenciosa del malware que ya domina el vector de entrada en 2025

Compartir en LinkedIn Compartir en Reddit Compartir en Pinterest Compartir en WhatsApp

En la era de la ingeniería social automatizada y los ataques sin malware tradicional, una amenaza ha escalado de forma silenciosa hasta convertirse en protagonista del cibercrimen en 2025: ClickFix. Este método, que no requiere descargas ni exploits técnicos complejos, ha evolucionado hacia una familia de ataques que redefine el concepto de infección en la web. Y ahora, con la irrupción de su variante FileFix, el riesgo es todavía mayor.

De amenaza emergente a pandemia digital: el crecimiento imparable de ClickFix

Según datos recientes de ESET, ClickFix ha registrado un crecimiento del 517 % en lo que va de año, consolidándose como el segundo vector de ataque más común a nivel global, sólo superado por el phishing clásico. Representa ya el 8 % del total de ataques bloqueados, una cifra que ilustra la facilidad con la que los atacantes pueden comprometer entornos enteros con una simple interacción humana.

Investigadores de Unit 42 han documentado su uso en ataques dirigidos a sectores de alta criticidad como:

  • Gobiernos e infraestructuras públicas
  • Entidades financieras y aseguradoras
  • Industria manufacturera avanzada
  • Empresas de tecnología y telecomunicaciones

Los focos geográficos más activos incluyen Japón, España, Perú, Polonia y Eslovaquia.

Ingenioso, sigiloso y letal: así opera ClickFix

La esencia de ClickFix es su aparente inocuidad. Al hacer clic en un botón, banner o enlace especialmente diseñado, el usuario activa de forma inadvertida una cadena que desencadena la ejecución de comandos peligrosos, sin descargar ningún archivo malicioso. La interacción aprovecha el mecanismo legítimo del cuadro “Ejecutar” de Windows (Win+R), engañando al usuario para introducir comandos que abren puertas traseras, descargan scripts desde servidores remotos o alteran configuraciones del sistema.

Esta técnica ha sido explotada en campañas de suplantación de marcas como Booking.com, PayPal o Microsoft, con un aumento documentado desde diciembre de 2024.

Una amenaza democratizada: del APT al cibercrimen masivo

Lo más preocupante es que ya no hablamos solo de ataques sofisticados ejecutados por grupos patrocinados por estados. Plataformas como GitHub han facilitado la propagación de la amenaza al albergar kits como reCAPTCHA Phish, que permiten a cualquier actor con conocimientos básicos construir páginas maliciosas ClickFix listas para infectar.

Además, desde noviembre de 2024, grupos como APT28 (Rusia), Kimsuky (Corea del Norte) y MuddyWater (Irán) han integrado ClickFix en sus arsenales. La frontera entre amenazas persistentes avanzadas (APT) y cibercriminales comunes se ha diluido.

FileFix: la evolución del engaño

El investigador mr.d0x —conocido por documentar técnicas innovadoras de phishing— presentó en junio de 2025 una nueva variante: FileFix. Esta técnica reemplaza el uso del cuadro «Ejecutar» por el propio Explorador de Archivos de Windows, solicitando al usuario abrir lo que parece una ruta legítima, pero que en realidad ejecuta código malicioso.

Los primeros informes forenses apuntan a que FileFix ya se está utilizando activamente en campañas dirigidas. Su capacidad de evadir soluciones basadas en análisis de comportamiento o heurísticas lo convierte en una amenaza aún más sofisticada.

De escritorio a bolsillo: expansión a entornos móviles

ClickFix también ha cruzado la barrera de los escritorios y ha llegado a los móviles. Equipos de investigación de c/side confirman que ya existen variantes funcionales para:

  • Android
  • iOS
  • macOS

En smartphones, se comporta como un ataque tipo drive-by, comprometiendo el dispositivo simplemente al visitar un sitio web comprometido. No se necesita interacción adicional.

Ecosistema criminal: ClickFix como servicio

El éxito de esta técnica ha generado una economía criminal alrededor del concepto de “ClickFix-as-a-Service”. Existen ya “builders” disponibles en foros underground que permiten a terceros personalizar y desplegar campañas sin apenas conocimientos técnicos. Las páginas generadas incluyen funciones avanzadas como:

  • Detección de geolocalización
  • Antianálisis
  • CAPTCHA falsos con lógica adaptativa
  • Enlaces ofuscados mediante Google Apps Script

Huellas digitales: detección y respuesta

Las infecciones ClickFix dejan rastros sutiles pero detectables. Entre los indicadores clave se encuentran:

  • Claves del registro RunMRU con comandos anómalos
  • Eventos 4688 del registro de seguridad (creación de procesos sospechosos desde explorer.exe)
  • Uso atípico de PowerShell tras la interacción del usuario
  • URLs alojadas en dominios legítimos como script.google.com o storage.googleapis.com

Analistas de ReliaQuest estiman que la técnica ClickFix estuvo presente en más del 10 % de los compromisos por drive-by attacks registrados entre marzo y mayo de 2025.

Una amenaza psicológica

Más allá de su ingeniería técnica, ClickFix ataca la psicología del usuario. La promesa de resolver un problema (“reinstalar una reserva”, “verificar la cuenta”, “activar una promoción”) apela a una acción inmediata, provocando una reacción automática y sin sospechas.

La ciberseguridad, en este contexto, ya no es solo una cuestión de firewalls o antivirus, sino de educación digital crítica. ¿Podemos entrenar a las personas para no actuar bajo presión en escenarios cuidadosamente diseñados para parecer legítimos?

Preguntas frecuentes (FAQ)

¿Qué es ClickFix y cómo funciona exactamente?
Es una técnica de ingeniería social avanzada que explota la interacción del usuario con elementos visuales para ejecutar comandos peligrosos en su equipo, sin requerir descargas.

¿Qué diferencia hay entre ClickFix y FileFix?
Mientras ClickFix usa el cuadro “Ejecutar” de Windows para ejecutar comandos, FileFix emplea rutas en el Explorador de Archivos para engañar al usuario y ejecutar código malicioso de forma más silenciosa.

¿Cómo protegerse contra ClickFix y sus variantes?
Implementar filtrado web, políticas de restricción de comandos, detección avanzada de comportamiento y, sobre todo, formar al personal en identificar tácticas de engaño visual.

¿Es posible detener esta amenaza con antivirus convencionales?
No del todo. Como no hay malware tradicional, muchas soluciones basadas en firmas o heurísticas no detectan el ataque. Es fundamental combinar tecnologías EDR y XDR con estrategias de concienciación humana.

Fuente: Noticias sobre seguridad

Picture of Maria José M.R.

Maria José M.R.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Lo último

ClickFix y FileFix: La mutación silenciosa del malware que ya domina el vector de entrada en 2025

¿Me ha bloqueado? Señales para saber si alguien ha restringido tu número en el móvil

GPT-5 ya está aquí: la nueva inteligencia artificial de OpenAI que piensa mejor y ayuda más

El agente logístico DIVA, impulsado por Amazon Bedrock: Innovación en el Transporte

Integración de Flujos Empresariales: Conexión de Salesforce Agentforce con Amazon Bedrock Agents

Amazon Bedrock: Transformando la Planificación de Cuentas en AWS

×