¿Qué es ClickFix (y FileFix)?

por

Última actualización:
11  minutos de lectura
¿Qué es ClickFix (y FileFix)?

Puntos clave

  • ClickFix es una técnica engañosa que induce a los usuarios a ejecutar manualmente comandos maliciosos copiados en el portapapeles en segundo plano a través de las utilidades nativas del sistema operativo.
  • La variante avanzada de FileFix elude los bloqueos de comandos administrativos engañando a las víctimas para que peguen código malicioso en la barra de direcciones del Explorador de archivos estándar de Windows.
  • Dado que estos ataques no utilizan archivos y se aprovechan de los terminales activos tras la autenticación, logran eludir con éxito los escáneres antivirus tradicionales, las plataformas EDR y la autenticación multifactorial.
  • Este vector se ha convertido en una herramienta preferida para el acceso inicial, utilizada tanto por grupos oportunistas de ciberdelincuentes dedicados al robo de información como por redes avanzadas de espionaje de Estados.
  • Para proteger a las organizaciones frente a esta amenaza, es necesario restringir las interfaces de alto riesgo mediante políticas de grupo, realizar un seguimiento de las anomalías en el comportamiento de los terminales y ofrecer formación a los empleados adaptada al contexto.

Haces clic en «No soy un robot», pero en lugar de aparecer una marca de verificación verde, un mensaje de error te indica que debes completar un rápido paso de verificación manual. Sin que te des cuenta, el código JavaScript que se ejecuta en esa página ya ha copiado un comando malicioso oculto directamente en el portapapeles de tu ordenador. El mensaje te indica que abras el cuadro de diálogo «Ejecutar» de Windows, pegues el texto y pulses Intro para «solucionar» el problema.

Este es el mecanismo que subyace a ClickFix, una peligrosa técnica de ingeniería social que se ha extendido como la pólvora por el panorama de las amenazas en los últimos dos años. Junto con su variante más reciente y aún más sigilosa, conocida como FileFix, este vector ha trastocado los modelos de defensa tradicionales.

ClickFix-Ataque-Flujo

Lo que hace que un ataque ClickFix resulte tan especialmente frustrante para los equipos de seguridad es la ausencia total de los indicadores tradicionales de compromiso. No hay ningún archivo malicioso que descargar e interceptar, no se aprovecha ninguna vulnerabilidad de software y no hay contraseñas descifradas.

¿Qué es ClickFix en el ámbito de la ciberseguridad?

ClickFix es una técnica de ingeniería social sin archivos en la que una página web comprometida o maliciosa muestra al usuario un mensaje de error engañoso, un CAPTCHA falso o una solicitud de verificación.

Los investigadores de seguridad documentaron por primera vez esta técnica concreta en 2024. Se desarrolló a partir de un precursor anterior y más rudimentario conocido como «ClearFix», cuyo origen se remonta a octubre de 2023. El nombre «ClickFix» no es una denominación oficial estándar del sector, pero se convirtió rápidamente en el término por defecto utilizado en todo el sector de la ciberseguridad a medida que la amenaza ganaba popularidad a lo largo de 2024 y 2025.

Este truco psicológico se basa por completo en los hábitos de los usuarios. La gente está totalmente acostumbrada a marcar casillas de verificación y a solucionar por sí misma pequeños errores del navegador para acceder al contenido que realmente desea. ClickFix aprovecha precisamente ese reflejo ofreciendo una solución inmediata a un obstáculo técnico simulado.

¿Por qué ClickFix elude las herramientas de seguridad tradicionales?

Las defensas empresariales estándar están diseñadas para detectar cargas maliciosas que penetran en el perímetro de la red. ClickFix elude sin dificultad estas arquitecturas gracias a varias ventajas operativas distintivas:

  • Las pasarelas de correo electrónico seguras, los motores antivirus estáticos y muchas plataformas de detección y respuesta en endpoints no tienen absolutamente nada que analizar, ya que durante la fase inicial de la intrusión no se descarga ni se adjunta ningún archivo ejecutable.
  • El comando de portapapeles secuestrado aprovecha utilidades del sistema de confianza y preinstaladas, como PowerShell, la línea de comandos de Windows o el Terminal de macOS, para llevar a cabo sus tareas. Y es que los administradores de TI utilizan precisamente estas herramientas a diario para realizar operaciones legítimas.
  • La autenticación multifactorial (MFA) está diseñada para garantizar el acceso seguro durante una sesión de inicio de sesión. Un ataque ClickFix se dirige directamente a la sesión activa del terminal una vez que ya se ha producido la autenticación, por lo que ni siquiera las políticas de MFA más sólidas pueden impedir su ejecución.

¿Cómo funciona un ataque ClickFix paso a paso?

Una campaña activa de ClickFix suele desarrollarse a lo largo de cinco fases tácticas distintas:

Paso 1: El señuelo

El autor de la amenaza se hace con el control de una página web legítima (a menudo mediante el ataque a sitios de WordPress con una seguridad deficiente o a redes publicitarias) o crea un dominio malicioso específico. Suele recurrir al «typosquatting» o a la publicidad maliciosa para atraer tráfico orgánico hacia estos sitios. Para maximizar la credibilidad, las páginas se hacen pasar de forma muy convincente por marcas corporativas de confianza como Microsoft, Cloudflare o Booking.com.

Paso 2: La verificación falsa

Cuando un usuario accede a la página, el atacante utiliza una ventana superpuesta para bloquear el contenido esperado. Al usuario se le muestra un cuadro CAPTCHA falso muy realista, una alerta falsa que indica que «es necesario actualizar el navegador» o un error de carga de documento en el que destaca un botón que dice «Corregir» o «Verificar».

Paso 3: El secuestro del portapapeles

En el momento en que la víctima hace clic en ese botón, se activa un fragmento de código JavaScript oculto en segundo plano. Este script sobrescribe automáticamente el portapapeles del sistema del usuario con una cadena de comandos maliciosa y muy ofuscada. Este cambio en el portapapeles se produce de forma silenciosa, sin ninguna confirmación visible.

Paso 4: Las instrucciones

La página web pasa inmediatamente a una pantalla con instrucciones. En ella se guía a la víctima a través de una secuencia precisa de atajos de teclado: pulsar Win + R para abrir el cuadro «Ejecutar» de Windows, pulsar Ctrl + V para pegar el contenido copiado y pulsar Intro. La página presenta esta secuencia como una corrección manual necesaria para resolver el error de carga.

Paso 5: Ejecución y entrega de la carga útil

En cuanto el usuario pulsa Intro, el sistema operativo ejecuta el comando oculto del portapapeles. Esto suele iniciar una conexión silenciosa en segundo plano con un servidor remoto para descargar e instalar malware especializado. El propio navegador nunca gestiona un enlace explícito de descarga de archivos, lo que hace que los filtros web a nivel del navegador no detecten en absoluto la instalación.

¿Qué es FileFix y cómo está evolucionando el ataque?

Cuando los centros de operaciones de seguridad (SOC) de las empresas comenzaron a supervisar y restringir el uso del cuadro de diálogo «Ejecutar» de Windows, los atacantes modificaron rápidamente su estrategia. El 23 de junio de 2025, el investigador de seguridad mr.d0x dio a conocer públicamente una evolución alternativa más sigilosa denominada FileFix.

En lugar de obligar a los usuarios a utilizar ventanas de comandos administrativas, un ataque FileFix muestra un botón de «subir archivo» de aspecto normal en una página web. Al hacer clic en este botón, se abre una ventana legítima y nativa del Explorador de archivos de Windows. A continuación, la página de instrucciones indica al usuario que haga clic en la barra de direcciones del Explorador de archivos, situada en la parte superior, que pegue el contenido del portapapeles (camuflado como una ruta de archivo) y que pulse Intro.

FileFix-Variante-Flujo

Esta variante es considerablemente más peligrosa por dos razones. En primer lugar, a los empleados de empresa les resulta mucho más familiar y menos inquietante el Explorador de archivos que el cuadro «Ejecutar», de aspecto más técnico. En segundo lugar, el Explorador de archivos está profundamente integrado en las operaciones básicas del escritorio, lo que dificulta que los equipos de TI lo bloqueen mediante los controles tradicionales de la Política de grupo (GPO), a diferencia de lo que ocurre con las utilidades de comandos administrativos.

Cronología de los ataques: cómo los atacantes aprovecharon FileFix

Los grupos de ciberdelincuentes pusieron en práctica esta nueva investigación con una rapidez alarmante. Check Point Research detectó a actores maliciosos activos probando el código de FileFix dentro de una infraestructura de phishing activa ya el 6 de julio de 2025, menos de dos semanas después de la divulgación pública inicial. A mediados de julio de 2025, el informe DFIR documentó una campaña activa en tiempo real (rastreada bajo el nombre de «KongTuke») que utilizaba FileFix para distribuir una variante avanzada del troyano de acceso remoto (RAT) Interlock. En septiembre de 2025, los investigadores descubrieron variantes modificadas de FileFix que incorporaban esteganografía, ocultando cargas maliciosas por completo dentro de archivos de imagen inofensivos, alojados en sitios web de phishing multilingües para distribuir discretamente el malware StealC.

Casos de uso de ClickFix

ClickFix ha pasado de ser una técnica experimental de ciberdelincuencia a convertirse en una herramienta de implementación preferida por grupos de amenazas altamente sofisticados. En un breve periodo de 90 días, comprendido entre octubre de 2024 y enero de 2025, cuatro importantes actores de amenazas estatales integraron ClickFix en sus operaciones activas de ciberespionaje: el grupo ruso APT28, el norcoreano Kimsuky, el iraní MuddyWater y el grupo COLDRIVER, vinculado a Rusia. El grupo APT36 de Pakistán siguió sus pasos poco después, en mayo de 2025. En lugar de crear operaciones completas desde cero, estas amenazas persistentes avanzadas (APT) incorporaron ClickFix a sus marcos de phishing ya existentes.

Varias campañas destacadas ponen de manifiesto la enorme diversidad de estas operaciones:

  • El señuelo de APT28 en Google Sheets: este grupo utilizó una página falsa de Google Sheets muy realista para atraer a las víctimas a una ventana emergente de reCAPTCHA. Al hacer clic en la casilla, se establecía de forma silenciosa un túnel SSH cifrado y se instalaba Metasploit directamente en la red de destino, lo que proporcionaba a los atacantes acceso permanente a través de una puerta trasera.
  • Campaña «Patch Tuesday» de MuddyWater: Bajo el nombre de TA450, este grupo coordinó oleadas masivas de phishing programadas expresamente para coincidir con el calendario mensual de «Patch Tuesday» de Microsoft. Los correos electrónicos se hacían pasar por alertas urgentes de actualizaciones de seguridad de Windows y lograron afectar al menos a 39 organizaciones destacadas de todo Oriente Medio.
  • Storm-1865 Hospitality Wave: Este actor se hacía pasar sistemáticamente por comunicaciones automáticas de Booking.com para dirigirse al personal administrativo de hoteles y del sector turístico, con el fin de obtener las credenciales de los empleados.
  • Violación de la cadena de suministro del sector de la automoción: En marzo de 2025, un único proveedor externo afectado, denominado LES Automotive, provocó que se inyectaran simultáneamente scripts de infección de ClickFix en más de 100 sitios web diferentes de concesionarios de automóviles.
  • Consecuencias del ransomware: El grupo de ransomware Interlock también ha adoptado ClickFix para obtener acceso inicial, incluyendo un incidente documentado en agosto de 2025 que afectó a una víctima perteneciente a la administración estatal o local de EE. UU.

¿Cómo ha evolucionado el malware ClickFix?

La barrera técnica de acceso a este ataque se ha reducido drásticamente. Los kits comerciales «ClickFix builder» se compran y venden ahora de forma generalizada en foros clandestinos de hackers, lo que permite a ciberdelincuentes con pocos conocimientos lanzar campañas personalizadas. Además, el ataque ya no se limita estrictamente a los sistemas Windows; variantes recientes se han expandido para atacar a usuarios de macOS mediante comandos de Terminal codificados en base64, así como a entornos empresariales de Linux. Equipos independientes de inteligencia sobre amenazas, entre ellos Recorded Future y el Center for Internet Security, informaron de que ClickFix seguía siendo una de las técnicas de acceso inicial más activas en 2026, y que seguían apareciendo nuevos temas de señuelo (entre ellos, invitaciones falsas a reuniones y avisos de actualización de software).

La variedad de cargas útiles finales distribuidas a través de estos métodos incluye una amplia gama de tipos peligrosos de malware:

Clasificación de la carga útilFamilias específicas de malware detectadas
Programas de robo de informaciónLumma Stealer, StealC, Vidar, DanaBot, Atomic macOS Stealer
Trojanos de acceso remoto (RAT)AsyncRAT, XWorm, NetSupport, VenomRAT, Quasar
Cargadores y precursores de accesoLatrodectus, MintsLoader, DarkGate
Operaciones de ransomwareInterlock, Qilin
Uso indebido de herramientas de gestión remotaScreenConnect, la herramienta RMM «Level»

Entre estas cargas maliciosas, Lumma Stealer sigue siendo la más dominante. Microsoft identificó más de 394 000 dispositivos Windows infectados en todo el mundo durante un breve periodo de dos meses, entre marzo y mayo de 2025. Aunque una operación policial a gran escala en la que participaron Microsoft, Europol, el FBI y el Departamento de Justicia (DOJ) logró desmantelar de forma coordinada esta infraestructura, algunas partes del backend de Lumma consiguieron recuperarse y reanudar sus operaciones en tan solo unas semanas.

¿Cómo se presentan ClickFix y FileFix en cifras?

Las métricas cuantitativas relacionadas con estas campañas sin archivos demuestran por qué se han convertido en una emergencia para todo el sector:

  • 517 %: El enorme aumento de las detecciones de ClickFix registradas por ESET en el primer semestre de 2025 en comparación con el último semestre de 2024. Este crecimiento explosivo lo situó como el segundo vector de ataque inicial más común a nivel mundial, solo por detrás del phishing tradicional.
  • 8 %: Proporción total de todos los ataques globales basados en la web bloqueados mediante telemetría que están impulsados explícitamente por scripts de ClickFix.
  • 47 %: El porcentaje de todas las notificaciones de acceso inicial emitidas por el equipo de detección de amenazas «Defender Experts» de Microsoft que se atribuyen directamente a vectores de ClickFix durante un periodo de 12 meses.
  • 54 %: El porcentaje de víctimas de ransomware cuyas credenciales de dominio corporativo aparecieron a la venta en mercados de datos robados antes de que se produjera el cifrado, según el Informe de Investigaciones sobre Fugas de Datos (DBIR) de 2025 de Verizon.

Esta última métrica pone de relieve el peligroso proceso que va del robo de credenciales al ransomware. El intervalo de tiempo medio que transcurre entre el momento en que un empleado pierde sus credenciales a manos de un programa de robo de información y el momento en que un grupo malicioso despliega ransomware en esa red corporativa es, actualmente, de tan solo dos días. Dado que ClickFix y FileFix se encuentran entre los principales mecanismos de distribución que alimentan estos mercados de credenciales, detener estas interacciones iniciales es un requisito previo fundamental para evitar un despliegue catastrófico de ransomware.

¿Cómo se puede detectar un intento de ClickFix o FileFix?

Los empleados de la empresa son la primera línea de defensa frente a esta amenaza. Para proteger tu dispositivo, compara cualquier mensaje inusual que aparezca en la web con esta lista de comprobación de seguridad:

  • Una página web legítima nunca te pedirá que abras el cuadro de diálogo «Ejecutar» de Windows, un terminal o la barra de direcciones del Explorador de archivos para «verificar» tu identidad o solucionar un error del navegador.
  • Desconfía de cualquier CAPTCHA o mensaje de error que te pida que pulses combinaciones de teclas como Win + R, Cmd + Espacio o Ctrl + V.
  • Si pegas algo y aparece una larga secuencia de código que nunca has copiado, significa que tu portapapeles ha sido comprometido. No pegues ni ejecutes ese contenido en ningún sitio.
  • Las herramientas de seguridad estándar se ejecutan íntegramente dentro de la pestaña activa del navegador. Nunca te obligarán a salir del navegador web ni a interactuar con ningún software externo de escritorio.

Si alguna vez te encuentras con un enlace desconocido o sospechoso mientras navegas por Internet o a través de un mensaje, puedes comprobar su estado utilizando una herramienta gratuita específica para ello antes de hacer clic en él.

¿Cómo pueden los equipos de TI protegerse contra ClickFix y FileFix?

Dado que estos ataques manipulan comportamientos legítimos del sistema en lugar de utilizar vulnerabilidades tradicionales, defenderse de ellos requiere un modelo de seguridad por capas.

1. Restringir y supervisar las interfaces de alto riesgo

Los equipos de ingeniería de TI deben implementar controles restrictivos de Política de Grupo (GPO) para bloquear el acceso a interfaces de comandos administrativos, como el cuadro de diálogo «Ejecutar» (cmd.exe) y la ejecución nativa de PowerShell, para los usuarios estándar sin privilegios administrativos, siempre que sea operativamente viable. Cuando no sea posible aplicar restricciones totales, la infraestructura de supervisión debe configurarse para detectar anomalías en las claves de registro RunMRU, registrar todos los cambios rápidos en el contenido del portapapeles y aplicar un registro exhaustivo del bloqueo de scripts de PowerShell.

2. Una arquitectura de detección de movimientos que va más allá del archivo

Dado que el análisis estático tradicional de archivos resulta ineficaz frente al malware sin archivos, los equipos de operaciones de seguridad deben tener en cuenta la cadena completa de comportamiento. Las soluciones de seguridad deben combinar filtros web perimetrales avanzados para analizar las estructuras HTML/URL entrantes con análisis de comportamiento en los terminales, capaces de identificar la firma distintiva de un proceso del navegador que inyecta comandos en las herramientas del sistema.

3. Eliminar el vector de ataque inicial del phishing

Aunque la interacción con ClickFix tiene lugar en la web, el enlace inicial se difunde ampliamente a través de correos electrónicos de phishing dirigidos o anuncios maliciosos que suplantan marcas empresariales de confianza o dominios corporativos internos. Según informes del Centro para la Seguridad en Internet (CIS) y del Centro Multiestatal de Intercambio y Análisis de Información (MS-ISAC), las organizaciones del sector público reciben con frecuencia mensajes de phishing que utilizan subdominios suplantados de servicios de confianza (como trycloudflare.com o r2.dev) para eludir los filtros de correo electrónico estándar y redirigir a las víctimas a pantallas CAPTCHA falsas.

La aplicación de protocolos de autenticación de dominios, como el DMARC (Domain-based Message Authentication, Reporting, and Conformance), con una política estricta de p=reject, reduce significativamente la capacidad de los atacantes para suplantar el dominio de tu organización al enviar estos mensajes iniciales de phishing. Es importante ser muy preciso en este punto: DMARC es un control de verificación de identidad y protección de marca, no una solución directa para la ejecución en los terminales. No puede impedir que un empleado pegue código en un terminal una vez que ya se encuentra en un sitio malicioso, pero merma significativamente la capacidad del atacante para enviar correos electrónicos con dominios suplantados muy convincentes que, en primer lugar, inician la cadena de ataque.

Bloquea hoy mismo las amenazas de suplantación de dominio y phishing con PowerDMARC

4. Impartir formación a los usuarios adaptada al contexto

La formación genérica en seguridad corporativa que se limita a indicar a los empleados que «no hagan clic en enlaces sospechosos» resulta totalmente ineficaz frente a los patrones visuales específicos que utiliza ClickFix. Las organizaciones deben implementar ejercicios de formación breves y específicos, centrados exclusivamente en este ciclo operativo. La conclusión formativa debe ser clara y práctica: si alguna página web te pide que pegues texto en el cuadro «Ejecutar» de Windows o en la barra de direcciones del Explorador de archivos, detente inmediatamente y comunícalo al departamento de TI.

5. Dar prioridad a la notificación frente a la resolución por cuenta propia

ClickFix aprovecha activamente el hábito natural de las personas de querer resolver por su cuenta pequeños problemas técnicos sin molestar al servicio de asistencia. Los equipos de seguridad deben contrarrestar deliberadamente este comportamiento creando procesos de notificación claros y sin complicaciones. Los empleados deben saber que notificar un mensaje de verificación extraño es la acción esperada y segura.

Conclusión: Garantizar el factor humano

ClickFix y FileFix representan un cambio muy estratégico en la ciberdelincuencia moderna. Estas campañas no pierden el tiempo buscando vulnerabilidades de software complejas de tipo «día cero»; en su lugar, se centran en una vulnerabilidad mucho más sencilla: el reflejo natural del ser humano de hacer clic rápidamente para superar una pequeña interrupción técnica. Este sencillo exploit conductual ha demostrado ser tan eficaz que ahora lo utilizan tanto ciberdelincuentes oportunistas como sofisticadas redes de inteligencia de Estados-nación.

Para hacer frente a esta amenaza es necesaria una defensa equilibrada y por capas. Las organizaciones deben combinar la supervisión proactiva de los terminales, la formación específica sobre el comportamiento de los empleados y los controles técnicos de autenticación para bloquear los canales de distribución iniciales.

Al implementar una autenticación estricta de dominios, podrás bloquear por completo los correos electrónicos no autorizados enviados desde los dominios de tu empresa. Toma el control del perímetro de tu correo electrónico y protege la marca de tu empresa. Utiliza la plataforma de seguridad de dominios PowerDMARC para analizar su ecosistema de correo electrónico y poner en marcha hoy mismo una defensa activa contra las redes de distribución de phishing.

Preguntas frecuentes

¿Qué es ClickFix en el ámbito de la ciberseguridad?

ClickFix es una técnica de ingeniería social sin archivos en la que los sitios web comprometidos muestran CAPTCHAs falsos o mensajes de error del navegador. Cuando un usuario hace clic en el mensaje, un código JavaScript en segundo plano copia un comando malicioso en su portapapeles, y unas instrucciones guían al usuario para que lo pegue y lo ejecute manualmente utilizando herramientas del sistema en las que confía, como el cuadro «Ejecutar» de Windows.

¿Cuál es la diferencia entre ClickFix y FileFix?

ClickFix engaña a las víctimas para que peguen comandos maliciosos del portapapeles directamente en utilidades administrativas del sistema, como el cuadro de diálogo «Ejecutar» de Windows o el Terminal de macOS. FileFix es una variante más avanzada que engaña a los usuarios para que abran una ventana estándar del Explorador de archivos de Windows y peguen el comando directamente en la barra de direcciones, una interfaz que resulta más familiar para los usuarios y más difícil de restringir para los equipos de TI.

¿Cómo consigue un ataque ClickFix infectar un ordenador sin necesidad de un archivo malicioso?

El ataque evita por completo la descarga de archivos durante la fase inicial de infección. Utiliza código JavaScript nativo en segundo plano para secuestrar el portapapeles del sistema del usuario. A continuación, la víctima pega y ejecuta manualmente ese código oculto utilizando utilidades administrativas del sistema operativo preinstaladas y de confianza, un método conocido como «living off the land».

¿Qué actores maliciosos utilizan ClickFix y FileFix?

Esta técnica se utiliza ampliamente en todo el panorama de las amenazas. La han adoptado tanto grupos de ciberdelincuentes especializados en el robo de información (que distribuyen cargas útiles como Lumma Stealer) como grupos de espionaje estatales altamente sofisticados de varios países, entre los que se incluyen APT28 y COLDRIVER de Rusia, Kimsuky de Corea del Norte, MuddyWater de Irán y APT36 de Pakistán.

¿Pueden los antivirus o la autenticación multifactorial (MFA) detener un ataque de ClickFix?

El software antivirus estático tradicional suele no detectar ClickFix, ya que durante la interacción inicial no se descarga ningún archivo malicioso que pueda analizarse. La autenticación multifactorial (MFA) tampoco puede evitar la infección, ya que el ataque se dirige directamente al dispositivo terminal activo, en lugar de intentar secuestrar una sesión de inicio de sesión en una aplicación web.

¿Cómo puedo saber si un CAPTCHA o un mensaje del tipo «corrígelo» es un ataque de ClickFix?

Una herramienta de verificación humana auténtica, como Google reCAPTCHA, se ejecuta íntegramente en la pestaña activa de tu navegador y nunca te pide que abras ningún programa externo en el escritorio. Cualquier mensaje que te indique que utilices atajos de teclado como Win + R, que abras el cuadro «Ejecutar» o que pegues texto en la barra de direcciones del Explorador de archivos para solucionar un error es un ataque de ClickFix.