Los ciberdelincuentes están abandonando a los intermediarios de accesos para infectar directamente a sus víctimas mediante engaños de ingeniería social y entornos de ejecución en JavaScript.
Las bandas de extorsión digital están optimizando agresivamente sus cadenas de ataque para ser más rápidas y económicas. Según un informe técnico publicado este 17 de marzo de 2026, la operación de ransomware conocida como LeakNet ha comenzado a utilizar la táctica de ingeniería social “ClickFix” para obtener acceso inicial a las redes corporativas.
El Engaño del Falso CAPTCHA
Este cambio estratégico marca una clara desviación de los métodos de intrusión tradicionales. Hasta ahora, LeakNet (un grupo activo desde noviembre de 2024 que se autodenomina “perro guardián digital”) dependía de comprar credenciales robadas a los Agentes de Acceso Inicial (IABs).
Al adoptar la metodología ClickFix, el grupo reduce costos de adquisición de víctimas y elimina cuellos de botella operativos mediante el siguiente flujo:
- Los atacantes comprometen sitios web legítimos y configuran páginas falsas que simulan ser controles de verificación humana o CAPTCHA.
- Estas páginas engañan a los usuarios para que copien manualmente un comando malicioso de msiexec.exe y lo peguen directamente en el cuadro de diálogo “Ejecutar” de Windows.
- Al ejecutarse mediante herramientas legítimas de Windows, la acción parece rutinaria para el usuario y no presenta las señales obvias a nivel de red que tendría la infraestructura propia de un atacante.
Ejecución Invisible con Deno
La segunda innovación clave en estas campañas es cómo ejecutan su código malicioso una vez dentro. LeakNet está utilizando un cargador de Comando y Control (C2) construido sobre Deno, un entorno de ejecución de JavaScript y TypeScript.
Esta técnica permite a los atacantes ejecutar código JavaScript codificado en Base64 directamente en la memoria del sistema. El objetivo de este método es minimizar la evidencia que queda en el disco duro y evadir las detecciones de seguridad. Adicionalmente, los investigadores observaron intentos de intrusión separados donde se utilizaron campañas de phishing a través de Microsoft Teams para engañar a los usuarios y lanzar este mismo tipo de cargador basado en Deno.
Movimiento Lateral y Exfiltración
Una vez establecido el acceso inicial, el grupo sigue una metodología de post-explotación muy predecible y estructurada:
- Utilizan la carga lateral de DLL (DLL side-loading) para iniciar módulos maliciosos y la herramienta PsExec para moverse lateralmente por la red corporativa.
- Ejecutan el comando nativo de Windows cmd.exe /c klist para visualizar las credenciales de autenticación que ya están activas en el sistema, lo que les permite moverse más rápido sin la necesidad de solicitar o robar contraseñas nuevas.
- Finalmente, para las fases de preparación y exfiltración de datos, utilizan buckets de Amazon S3, explotando la apariencia de tráfico normal en la nube para reducir significativamente su huella de detección.
