Los ciberdelincuentes han descubierto que la forma más fácil de evadir los antivirus modernos es convencerte a ti mismo de que ejecutes el código malicioso manualmente.
La ingeniería social ha alcanzado un nuevo nivel de astucia. Se alerta sobre una técnica de ataque en rápido crecimiento bautizada como ClickFix, la cual se salta las protecciones de red y correo electrónico al engañar a los usuarios para que utilicen una herramienta administrativa legítima de Windows: el cuadro de diálogo “Ejecutar”.
La Trampa del “Falso CAPTCHA”
El ataque comienza cuando la víctima visita un sitio web comprometido o hace clic en un enlace de phishing. En lugar de solicitar la descarga de un archivo ejecutable tradicional (algo que bloquearía de inmediato cualquier antivirus moderno), la página muestra un mensaje de error falso muy convincente.
Por lo general, la pantalla simula ser un control de seguridad de Cloudflare, una verificación de CAPTCHA (“Verifica que eres humano”), un error de visualización del navegador web, o incluso una Pantalla Azul de la Muerte (BSOD) falsa.
Para “solucionar” el problema o pasar la verificación, la página le da al usuario tres instrucciones sencillas:
- Presionar la combinación de teclas Windows + R para abrir el cuadro de diálogo “Ejecutar” del sistema.
- Presionar Ctrl + V para pegar un código en la ventana. Lo que la víctima no sabe es que, al interactuar previamente con la página web, un script oculto en JavaScript ya había copiado silenciosamente un comando malicioso largo en el portapapeles de su computadora.
- Presionar Enter para finalizar.
Ejecución Directa y Evasión de Defensas
Al presionar Enter, el usuario está ejecutando voluntariamente un comando de PowerShell fuertemente ofuscado directamente en la terminal de su propio sistema.
Dado que el comando es lanzado a través de un proceso legítimo de Windows iniciado por el usuario, la mayoría de las plataformas de Protección de Endpoints (EDR) y antivirus asumen que se trata de una acción autorizada y no bloquean la descarga inicial. Esta técnica sin archivos (fileless) se está utilizando masivamente por distintos grupos de amenazas para desplegar troyanos de acceso remoto (RATs) y software de robo de información como Lumma, DarkGate y AsyncRAT.
Los administradores de seguridad deben educar urgentemente a sus usuarios sobre esta táctica, recordando una regla fundamental: ningún sitio web legítimo pedirá jamás abrir la terminal del sistema o el cuadro “Ejecutar” para verificar una identidad o solucionar un error de navegación.
