¿Qué es ClickFix (la falsa verificación que instala el ataque)?
ClickFix es una técnica de ingeniería social en la que una página falsa muestra un error o una verificación (por ejemplo, una falsa confirmación de “no soy un robot”) e induce a la víctima a copiar un texto y ejecutarlo en su propia computadora, presionando Win+R, pegando y oprimiendo Enter. En ese gesto, ejecuta sin saberlo un comando del criminal, que instala la amenaza. Es la propia víctima quien abre la puerta, y por eso el antivirus tradicional casi no ve el ataque.
Cómo ocurre el engaño de ClickFix
ClickFix invierte la lógica del ataque: en lugar de burlar las defensas de la máquina, convence a la persona de ejecutar el comando con sus propias manos. El paso a paso es casi siempre el mismo.
El anzuelo
La víctima llega a una página comprometida o falsa, muchas veces por un enlace de phishing o un resultado de búsqueda, y ve un aviso convincente: una verificación de “no soy un robot”, un error de documento o una falsa actualización del navegador.
La instrucción
La pantalla pide un paso “simple para resolver”: presionar Win+R, pegar y dar Enter, en Windows, o abrir la Terminal, en Mac y Linux. Todo parece una corrección técnica de rutina.
La copia invisible
Al hacer clic en el botón de “verificar” o “corregir”, la página copia en silencio un comando escondido al portapapeles. La víctima cree que no copió nada.
La ejecución por la propia víctima
Al pegar y oprimir Enter, es el comando del criminal el que se ejecuta. Descarga e instala la carga real: un ladrón de datos, un ransomware o un programa de acceso remoto.
Fuente: informes de amenazas de 2025 que documentaron la técnica y su expansión (ESET Threat Report del 1.er semestre de 2025) y la inteligencia de amenazas de Microsoft (2025).
Cómo reconocer un ClickFix
- Cualquier página que te pida presionar Win+R, abrir la Terminal o pegar un comando es una alerta inmediata. Ninguna verificación, actualización o CAPTCHA legítimo necesita eso.
- Una confirmación de “no soy un robot” que termina pidiendo “pegar” algo, y no solo marcar una casilla o hacer clic en imágenes.
- Un falso error de documento, de reunión en línea o de navegador que ofrece la “solución” en pocos clics, siempre con prisa.
- Instrucciones técnicas dadas a quien no es técnico, con un tono de urgencia (“hazlo ahora para no perder el acceso”).
- Un paso que menciona “PowerShell”, “cmd” o un texto largo y enredado que no entiendes.
Por qué ClickFix explotó
ClickFix creció tan rápido porque resuelve el mayor obstáculo del criminal: las defensas técnicas. El antivirus y el filtro de correo vigilan adjuntos y archivos descargados; aquí no hay adjunto, es la propia persona quien escribe el comando, y el sistema lo entiende como una acción legítima del usuario. En el 1.er semestre de 2025, los ataques ClickFix aumentaron 517% y la técnica se volvió el segundo vector más común, detrás solo del phishing (ESET, 2025). Funciona en Windows, Mac y Linux, y entrega de todo: ladrones de datos, ransomware y programas de acceso remoto. La escala también impresiona: una sola campaña comprometió más de 250 sitios legítimos en más de 12 países para mostrar la falsa verificación (Rapid7, 2025). Con una brecha que cuesta, en promedio, $ 4,44 millones (IBM, 2025), un clic convincente sale caro.
Cómo proteger a la empresa de ClickFix
ClickFix ataca el comportamiento, no la máquina. La defensa combina una regla clara para las personas con capas técnicas que retienen lo que pase.
- Enseña una regla de oroNingún sitio, verificación o actualización legítima pide presionar Win+R, abrir la Terminal o pegar un comando. Esa sola frase, sabida por todo el equipo, corta la mayoría de los ataques.
- Entrena con simulacionesLa concientización recurrente, con pruebas prácticas, enseña al equipo a reconocer el anzuelo antes de actuar. Es la defensa más barata y la que más rinde.
- Ten defensa por comportamiento en los dispositivosLa defensa avanzada de endpoint observa lo que se ejecutó e interrumpe el comando malicioso incluso cuando fue el propio usuario quien lo ejecutó.
- Reduce el poder de ejecuciónLimitar quién puede ejecutar comandos y programas (privilegio mínimo) y restringir herramientas como PowerShell en el día a día reduce el daño de un clic equivocado.
- Corta el origen y el destinoLa seguridad de correo y el filtrado de DNS bloquean la página falsa que muestra el anzuelo y el dominio desde donde se descargaría la carga, antes de que el comando llegue a ejecutarse.
En la práctica
En ClickFix, la víctima escribe su propio ataque. Por eso la defensa más fuerte no es un software, es una frase que todo empleado debe saber de memoria: ningún sitio pide pegar un comando.
Cómo trata Zamak el ClickFix
Zamak Technologies trata el ClickFix como lo que es, un engaño que apunta a las personas, y responde en dos frentes junto a su equipo: la concientización continua, para que nadie caiga en la falsa verificación, y la defensa avanzada de endpoint monitoreada, que interrumpe el comando cuando alguien hace clic de todos modos. Un buen punto de partida es la prueba de phishing, que mide en minutos cómo reacciona su equipo ante un anzuelo real. Forma parte de la Ciberseguridad del Método Zamak.