Threat Intelligence
clickfix
fake-captcha
ingenieria-social

ClickFix: el falso CAPTCHA que instala malware

Qué es ClickFix, la técnica del falso CAPTCHA que hace que la víctima ejecute malware. Cómo funciona, por qué evade defensas y cómo detectarlo y prevenirlo.

Equipo de Secra Solutions13 de julio de 202611 min de lectura

ClickFix es una técnica de ingeniería social en la que el atacante muestra un falso CAPTCHA o un mensaje de error y convence a la propia víctima de que copie un comando, lo pegue en una ventana del sistema y pulse Enter, ejecutando así el malware ella misma. Según el ESET Threat Report H1 2025, las detecciones de ClickFix aumentaron un 517% entre dos semestres consecutivos, lo que la sitúa como una de las técnicas de mayor crecimiento del periodo. El Microsoft Digital Defense Report de octubre de 2025 la identifica, en los datos de acceso inicial de las notificaciones de Defender Experts, como el método de entrada en cerca del 47% de esos casos. El falso captcha ya no es una curiosidad: es una de las puertas de entrada preferidas para infostealers, RATs y ransomware.

Desde una perspectiva de red team, ClickFix es fascinante y peligroso a la vez, porque no explota una vulnerabilidad de software. Explota la disposición del usuario a "arreglar" un problema que él mismo cree tener. En este artículo desglosamos qué es ClickFix, cómo funciona el engaño paso a paso, por qué esquiva tantos controles y cómo pueden detectarlo y prevenirlo las empresas.

Qué es ClickFix y por qué preocupa tanto

ClickFix es una familia de ataques de ingeniería social en la que el atacante presenta a la víctima una página web con un mensaje de error falso, un supuesto CAPTCHA de "verificación humana" o un diálogo que promete solucionar un fallo. La instrucción es siempre la misma en el fondo: para continuar, copia este texto, pégalo en una ventana concreta del sistema operativo y ejecútalo. Ese texto es, en realidad, un comando malicioso.

Proofpoint documentó las primeras campañas en marzo de 2024. A finales de ese año la técnica ya se había popularizado entre múltiples grupos, y durante 2025 pasó de ser una novedad a convertirse en un estándar de facto del acceso inicial. La razón de su éxito es que resuelve un problema clásico del atacante: cómo lograr que se ejecute código en el equipo de la víctima sin adjuntar un fichero que un antivirus pueda escanear ni explotar un exploit que un parche pueda cerrar. La respuesta de ClickFix es delegar la ejecución en el usuario.

Se trata de una vuelta de tuerca sobre las técnicas clásicas que analizamos en qué es la ingeniería social: el vector no es un correo con un adjunto sospechoso, sino una secuencia de pasos que la víctima realiza voluntariamente, convencida de que está superando una verificación legítima.

Cómo funciona el engaño paso a paso

El flujo de un ataque ClickFix típico sigue un guion muy pulido, diseñado para reducir la fricción y las alarmas del usuario.

1. El señuelo y la página falsa

La víctima llega a una página fraudulenta por varias vías: un resultado de búsqueda envenenado, un anuncio malicioso (malvertising), un enlace en un correo de phishing, un comentario en una red social o incluso un sitio legítimo comprometido que inyecta el contenido. La página muestra un mensaje creíble: "Verifica que eres humano", "Tu navegador necesita actualizarse para ver este contenido" o "Se ha producido un error al cargar el documento, sigue estos pasos para solucionarlo".

2. Las instrucciones de "verificación"

Aquí está el núcleo de ClickFix. La página guía a la víctima con pasos numerados que imitan la estética de un CAPTCHA real:

  1. Pulsa Win + R (o abre el Terminal en macOS).
  2. Pulsa Ctrl + V para pegar.
  3. Pulsa Enter.

Lo que la víctima no ve es que, al hacer clic en el falso "No soy un robot", una función JavaScript ha copiado silenciosamente al portapapeles un comando malicioso. Cuando pega y ejecuta, no está superando ninguna verificación: está lanzando el primer eslabón de la cadena de infección.

3. El comando y la ejecución

El comando pegado suele invocar powershell.exe, mshta.exe, cmd.exe o nslookup con parámetros ofuscados. Una variante frecuente descarga y ejecuta una segunda fase desde un servidor remoto, a menudo camuflando la URL o codificándola en Base64. Algunas campañas recientes usan incluso registros DNS TXT para entregar la carga, evitando peticiones HTTP evidentes. Para disimular, muchos comandos incluyen texto de relleno o comentarios que la víctima ve en la barra de "Ejecutar" pero que no alteran la ejecución real. El uso de PowerShell como intérprete no es casual: es lo que en cómo evitar el phishing llamamos abuso de binarios legítimos del sistema.

4. La entrega de la carga final

Una vez ejecutado el primer comando, la cadena descarga el payload real. Aquí ClickFix es agnóstico: es un método de entrega, no una familia de malware concreta.

Qué entrega ClickFix: infostealers, RATs y ransomware

La lista de cargas asociadas a ClickFix crece cada mes. Microsoft describe a Lumma Stealer como el payload más prolífico distribuido por esta vía. Entre las familias documentadas figuran:

  • Infostealers: Lumma Stealer, DanaBot, SnakeStealer y, en variantes para macOS, Atomic Stealer. Estos ladrones extraen credenciales, cookies de sesión, carteras de criptomonedas y tokens. Si quieres entender el impacto de esta categoría, lo tratamos a fondo en qué es un infostealer.
  • RATs (troyanos de acceso remoto): NetSupport RAT, AsyncRAT y variantes de DarkGate, que otorgan control persistente del equipo. La mecánica de estos troyanos la explicamos en qué es un troyano.
  • Loaders y ransomware: Latrodectus y otros cargadores que preparan el despliegue posterior de ransomware, así como cryptominers y herramientas de post-explotación.

Las campañas basadas en variantes de ClearFake han llegado a comprometer un gran número de sistemas en periodos cortos, lo que ilustra la escala que puede alcanzar un solo operador. Para situar estas familias dentro del panorama general, conviene repasar los tipos de malware más habituales.

Por qué ClickFix evade tantas defensas

Lo que hace de ClickFix un reto tan serio es la combinación de factores que juegan a favor del atacante y en contra de los controles tradicionales.

El usuario ejecuta el código, no un exploit. No se explota ninguna vulnerabilidad: la ejecución la inicia el propio usuario dentro de su sesión, lo que esquiva muchas heurísticas de antivirus centradas en descargas y adjuntos. El ejecutable malicioso suele descargarse solo después de que la víctima pega y ejecuta el comando.

El payload real llega después, no en el señuelo. Con frecuencia no hay un ejecutable malicioso adjunto en el primer contacto: la carga se descarga más tarde, cuando la víctima ejecuta el comando por su cuenta. Eso reduce el material que las pasarelas pueden bloquear de entrada, pero no lo elimina. La captación sí puede apoyarse en HTML, JavaScript, enlaces o adjuntos HTML maliciosos, que son artefactos inspeccionables por los controles de correo y de navegación web. Conviene mantener y afinar esos controles: el comando peligroso se genera en el portapapeles del navegador, pero la página o el mensaje que llevan a ese punto siguen siendo analizables.

Abusa de binarios firmados por Microsoft. El comando se ejecuta a través de powershell.exe o mshta.exe, procesos legítimos y firmados. Muchas listas blancas y controles de aplicaciones los permiten por defecto, una técnica de living-off-the-land que complica la detección.

La concienciación clásica no cubre este reflejo. Los programas de formación entrenan a los empleados para desconfiar de adjuntos y enlaces, pero rara vez enseñan a rechazar el gesto de pegar un comando en la ventana Ejecutar. ClickFix explota precisamente ese hueco. Es la misma lógica que vemos en vectores emergentes como el quishing o phishing por QR: el ataque se desplaza al terreno donde la formación aún no ha llegado.

Desde el punto de vista de un ejercicio de red team, ClickFix es un módulo ideal para medir la resiliencia humana de una organización, porque pone a prueba un comportamiento que no está cubierto por casi ningún control técnico.

Cómo detectar ClickFix en tu organización

La detección de ClickFix se apoya sobre todo en la telemetría de endpoint y en reglas de comportamiento, más que en firmas.

Detección en el endpoint (EDR)

Las señales más valiosas están en el árbol de procesos. Un patrón revelador es que un navegador (chrome.exe, msedge.exe) o el proceso explorer.exe a través del cuadro Ejecutar dé lugar a la ejecución de powershell.exe, mshta.exe o cmd.exe con líneas de comandos ofuscadas, cadenas Base64 o descargas remotas. Un buen EDR o XDR debería alertar sobre estas cadenas padre-hijo anómalas.

Otra fuente clave es la clave de registro RunMRU de Windows, que almacena el historial del cuadro Ejecutar. La presencia de comandos de PowerShell largos o codificados en esa clave es un indicador de compromiso casi inequívoco de ClickFix.

Reglas de detección y caza de amenazas

Escribir reglas de comportamiento para el SIEM y para el EDR sobre estas relaciones de procesos es la vía más robusta. Para el análisis de las muestras descargadas, las reglas YARA siguen siendo útiles a la hora de identificar familias concretas de payload una vez capturado el binario de segunda fase. Combinar detección de comportamiento en el endpoint con caza proactiva sobre RunMRU y logs de PowerShell (con Script Block Logging activado) cubre las fases más ruidosas del ataque.

Controles preventivos

  • Restringir o monitorizar el uso de PowerShell para usuarios que no lo necesitan, y activar el modo de lenguaje restringido donde sea viable.
  • Considerar la desactivación del cuadro Ejecutar (Win + R) por directiva de grupo en perfiles de usuario que no lo requieran.
  • Filtrar mediante DNS y proxy los dominios de reciente registro y las categorías de malvertising.
  • Reforzar la MFA resistente al phishing para limitar el impacto del robo de credenciales. Conviene tener presente una distinción importante: la MFA resistente al phishing protege el momento del login, pero no frena el secuestro de sesión. Muchos de estos payloads son infostealers que roban cookies y tokens de sesión ya autenticados; al reutilizarlos (replay), el atacante entra sin volver a pasar por la MFA. Para ese riesgo, complementa la MFA con vinculación de los tokens al dispositivo (token binding), sesiones cortas con revocación ágil, acceso condicional y detección de reutilización anómala de sesiones (uso desde una IP, geografía o dispositivo distintos del original).

Concienciación: el mensaje que hay que interiorizar

La defensa más eficaz contra ClickFix es un reflejo humano bien entrenado. El mensaje debe ser inequívoco: ninguna web, ningún CAPTCHA y ningún documento legítimo te pedirá jamás que abras la ventana Ejecutar, PowerShell o el Terminal y pegues un comando. Si una página te da esas instrucciones, es un ataque, sin excepciones.

Conviene incorporar este escenario a los simulacros. Igual que se entrena a los empleados frente al spear phishing, un buen ejercicio de red team debe incluir una campaña ClickFix controlada para medir cuántos usuarios llegan a ejecutar el comando y para reforzar el mensaje con casos reales de la propia organización. La concienciación abstracta rinde poco; la que parte de un simulacro vivido rinde mucho más.

Preguntas frecuentes

¿ClickFix afecta solo a Windows?

No. Aunque la mayoría de campañas se dirigen a Windows abusando del cuadro Ejecutar y de PowerShell, existen variantes para macOS que instruyen a la víctima a abrir el Terminal y pegar comandos que entregan Atomic Stealer, y adaptaciones para Linux. El principio (que el usuario ejecute el comando) es independiente del sistema operativo.

¿Un antivirus detiene un ataque ClickFix?

No de forma fiable por sí solo. Como el usuario ejecuta el comando manualmente a través de binarios legítimos del sistema, muchas soluciones basadas en firmas no lo bloquean. La defensa eficaz combina detección de comportamiento en el endpoint (EDR/XDR), monitorización de la clave RunMRU y del logging de PowerShell, y sobre todo concienciación del usuario.

¿Cómo distingo un CAPTCHA real de un falso captcha de ClickFix?

Un CAPTCHA legítimo se resuelve dentro del navegador: identificar imágenes, marcar una casilla o resolver un puzle. Nunca te pedirá que pulses Win + R, que abras PowerShell o el Terminal ni que pegues y ejecutes texto en una ventana del sistema. Cualquier "verificación humana" que exija esos pasos es un ataque ClickFix.

¿Por qué ClickFix ha crecido tanto en 2025?

Porque resuelve el problema del atacante de forma barata y eficaz: evita adjuntos escaneables y exploits parcheables, abusa de binarios firmados y explota un hueco de concienciación. El ESET Threat Report H1 2025 registró un aumento del 517% entre dos semestres consecutivos, lo que lo convirtió en una de las técnicas de acceso inicial de mayor crecimiento del periodo.

Pon a prueba la resiliencia humana de tu empresa

ClickFix demuestra que el eslabón más explotable no siempre es un software sin parchear, sino un usuario dispuesto a "arreglar" un problema inexistente. En Secra diseñamos ejercicios de ingeniería social y campañas controladas que miden exactamente cómo respondería tu plantilla ante un falso CAPTCHA, y convertimos los resultados en formación accionable. Descubre nuestro servicio de red team o contacta con nosotros para planificar una evaluación a medida.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo