En octubre de 2025, investigadores de ciberseguridad alertaron sobre una campaña que aprovecha sitios WordPress comprometidos para inyectar JavaScript malicioso. Estas inyecciones redirigen a los visitantes hacia páginas fraudulentas que imitan verificaciones legítimas de servicios como Cloudflare, pero en realidad forman parte de una cadena de ataque ClickFix diseñada para distribuir malware.
El ataque inicia con modificaciones en archivos de temas, como functions.php, donde los criminales insertan código que se conecta a dominios como brazil[.]com y porsasystem[.]com, usados como cargadores remotos de payloads dinámicos. Este último ha sido vinculado a un sistema de distribución de tráfico (TDS) conocido como Kongtuke.
IUAM ClickFix Generator: phishing a la medida
La campaña se potencia con herramientas especializadas como el IUAM ClickFix Generator, un kit de phishing que permite a los atacantes crear páginas falsas altamente personalizables. Estas páginas imitan los desafíos de verificación de navegadores usados por CDNs y proveedores de seguridad en la nube.
Las capacidades de este kit son avanzadas:
Manipula el portapapeles del usuario para ejecutar comandos ocultos.
Detecta el sistema operativo y adapta la carga maliciosa.
Despliega stealers multiplataforma, como DeerStealer y Odyssey Stealer, este último orientado a macOS.
La disponibilidad de estos kits en foros clandestinos baja drásticamente la barrera de entrada, permitiendo a atacantes con poca experiencia montar campañas de phishing sofisticadas y a gran escala.
Cache Smuggling: el nivel invisible del ataque
Más allá del phishing tradicional, algunos actores están implementando técnicas de cache smuggling, un método que utiliza la caché del navegador para almacenar datos maliciosos disfrazados de imágenes legítimas (image/jpeg).
El proceso es especialmente sigiloso:
El usuario accede a una página fraudulenta con temática ClickFix (por ejemplo, un falso Fortinet VPN Compliance Checker).
El navegador guarda un archivo aparentemente inocuo en la caché.
Un comando oculto en PowerShell extrae ese archivo y lo ejecuta sin necesidad de descargar nada adicional.
Este enfoque evita que los controles de seguridad tradicionales detecten descargas sospechosas, permitiendo que el malware llegue al sistema de la víctima sin levantar alertas inmediatas.
Implicaciones para las empresas
La combinación de WordPress comprometido, kits de phishing listos para usar y técnicas evasivas como cache smuggling hace que ClickFix evolucione hacia un vector de ataque extremadamente difícil de detectar.
Para reducir el riesgo, las organizaciones deben:
Mantener sus sitios web actualizados y aplicar parches a tiempo.
Implementar monitoreo proactivo para detectar cambios en archivos críticos como functions.php.
Aplicar soluciones de seguridad web capaces de identificar iframes ocultos, scripts sospechosos y redirecciones no autorizadas.
Concientizar a empleados y clientes sobre lures cada vez más sofisticados, que simulan verificaciones legítimas de servicios conocidos.
Conclusión
ClickFix ya no es solo un truco de ingeniería social, sino un ecosistema de ataque sofisticado que mezcla manipulación de navegadores, explotación de WordPress y técnicas avanzadas de evasión. Para las empresas, esto significa que la seguridad de sus plataformas digitales debe ser tratada como un activo estratégico, donde la prevención y la vigilancia constante marcan la diferencia entre un intento frustrado y una brecha con consecuencias graves.
