ESET descubre cómo funciona esta técnica que despliega alertas falsas en un navegador sobre supuestos
problemas técnicos para inducir a ejecutar malware sin que se note. Se identificaron casos en Chile, Perú,
Argentina, Brasil, Colombia y México
Así como la tecnología avanza a pasos agigantados, el cibercrimen no se queda atrás. Los actores
maliciosos desarrollan constantemente nuevas tácticas para obtener información confidencial o
beneficios económicos. En este contexto, ESET, compañía líder en detección proactiva de amenazas,
advierte sobre una técnica relativamente reciente de ingeniería social conocida como ClickFix, utilizada
para distribuir malware en los dispositivos de las víctimas. ESET analiza de qué se trata esta técnica,
cómo son sus ataques, y acerca ejemplos recientes en el mundo y casos que muestran su presencia en
América Latina.
Clickfix es una técnica de ingeniería social, documentada por primera vez a principioS de 2024, utiliza
ventanas emergentes que simulan problemas técnicos y manipulan a sus víctimas para que ejecuten
scripts maliciosos. La excusa que se utiliza para contactar a las víctimas es que se necesita actualizar el
navegador, que hay un error al abrir un documento, problemas con el micrófono en Google Meet o
Zoom o, incluso, que se debe ingresar un CAPTCHA para continuar.
Primero, los cibercriminales obtienen permisos de administrador de los sitios web con credenciales
robadas que les permiten instalar plugins falsos en estos sitios. Los plugins inyectan JavaScript malicioso,
con una variante conocida de malware. Al ejecutarse en el navegador mostrará notificaciones de
actualización del navegador, que inducirán a que las víctimas instalen malware en el equipo. Hablamos
de troyanos de acceso remoto o infostealers (Vidar Stealer, DarkGate y Lumma Stealer).
“La táctica clickfix busca engañar a las personas para que descarguen el malware y lo ejecuten sin la
necesidad de una descarga directa desde el navegador ni alguna ejecución manual de archivos. El
malware se ejecuta en la memoria en vez de escribirse en el disco. Así, logra evadir los mecanismos de
seguridad del navegador, y no levanta sospecha en los usuarios. Durante este tipo de ataque, los sitios
comprometidos van mostrando falsas alertas, las cuales advierten que la página o documento no puede
mostrarse hasta tanto el usuario haga clic en “Fix It” y siga los pasos correspondientes. De hacerlo, el
usuario termina ejecutando código malicioso e instalando malware, sin saberlo.”, comenta Camilo
Gutiérrez Amaya, Jefe del Laboratorio de investigación de ESET Latinoamérica.
Es importante mencionar que el llamado a la acción hacia la víctima puede variar: desde “Arreglar el
problema” a “Demuestra que eres humano” (páginas falsas de CAPTCHA). A continuación, ESET
comparte algunos ejemplos de cómo se visualiza este ataque, en sitios maliciosos que suplantan la
identidad de organizaciones como Google Chrome y Facebook.
Así, fue empleada en diversas campañas de distribución de malware, involucrando páginas webs
comprometidas, infraestructuras maliciosas de distribución y hasta correos de phishing.
Según informa el Departamento de Salud y Servicios Humanos de los Estados Unidos en su análisis de la
distribución de este malware, “los atacantes también podrían estar apuntando a usuarios que buscan
juegos, lectores de PDF, navegadores Web3 y aplicaciones de mensajería”.
En mayo de 2025, se conoció una campaña en la que cibercriminales distribuían malware utilizando la
técnica de clickfix, pero mediante videos de TikTok posiblemente generados con IA. Su objetivo era
infectar los equipos con infostealers como Vidar y StealC, y llevar a sus víctimas a ejecutar comandos
maliciosos en sus sistemas, con la excusa de que así podrían desbloquear funciones premium o bien
activar software legítimo.
En marzo de ese año, una campaña denominada ClearFake se valió también de la técnica clickfix para
distribuir el malware del tipo Lumma Stealer y Vidar Stealer, esta vez mediante Verificaciones falsas de
reCAPTCHA y Cloudflare Turnstile
En octubre de 2024, a través de páginas falsas de Google Meet se distribuyeron infostealers tanto en
sistemas Windows como macOS, usando la técnica de clickfix. La táctica es la ya mencionada: mostrarmensajes de un supuesto error en el navegador, para que la víctima ejecute un código malicioso de
PowerShell. En un último ejemplo, aportado usuario en X, se advierte sobre controles de bots falsos de
Cloudflare, que ejecutan comandos si el usuario hace clic.
Entre los ejemplos vistos en América Latina se encuentra el de la Escuela de Ingeniería Industrial de la
Universidad Católica de Chile. Un especialista compartió en abril 2025 en la red social X una campaña
donde se observan los pasos que le son sugeridos a la víctima, para que termine infectándose con
malware sin saberlo.
También se observó un caso relacionado al Fondo de Vivienda Policial de Perú. El sitio web de
este organismo oficial peruano también se vio comprometido, confirmando la presencia de esta
campaña en la región.
“Además de estos casos en Chile y Perú, también se han reportado casos en Argentina, Brasil, Colombia y
México, lo que confirma la presencia de esta nueva técnica en América Latina.”, agrega el especialista.
El nombre ClickFix se debe a que las notificaciones falsas, suelen contener un botón con una relación
directa al verbo "to fix" (Fix it, How to fix, Fix). Aunque en realidad, se está ejecutando la descarga de
malware. Estas instrucciones suelen ser:
1. Hacer clic en el botón para copiar el código que “resuelve” el problema
2. Presionar las teclas [Win] + [R]
3. Presionar las teclas [Ctrl] + [V]
4. Presionar [Enter]
Lo que sucede detrás de toda esta secuencia es, en realidad que en la primera indicación hace una copia
de un script invisible para el usuario, la segunda abre la ventana Ejecutar, la tercera pega el script de
PowerShell en la ventana Ejecutar y con el cuarto paso, el código se inicia con privilegios del usuario
actual, y el malware se descarga e instala en el equipo.
Para no ser víctima de los ataques que involucran ClickFix, desde ESET comparten medidas concretas
que se pueden aplicar. Por ejemplo:
Informarse: la educación sobre esta y otras tácticas de ingeniería social y phishing es clave para
reconocerlas y no caer en la trampa.
Contar con una solución antimalware: es el primer paso para estar protegido, siempre
manteniéndose al día con las actualizaciones.
Activar el doble factor de autenticación: es clave por si las credenciales de acceso de las cuentas
caen en las manos equivocadas.
Estar al día con las actualizaciones de sistemas operativos, softwares y aplicaciones.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET:
https://www.welivesecurity.com/es/cibercrimen/que-es-clickfix-falsa-notificacion-instala-malware/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:
Visítanos en:
@ESETLA /compay/eset-latinoamerica /esetla /ESETLA /@esetla
Acerca de ESET
ESET® proporciona seguridad digital de vanguardia para prevenir ataques antes de que ocurran. Al
combinar el poder de la IA y la experiencia humana, ESET® se anticipa a las ciberamenazas conocidas y
emergentes, asegurando empresas, infraestructuras críticas e individuos. Ya sea protección de
endpoints, nube o dispositivos móviles, sus soluciones y servicios nativos de IA y basados en la nube son
altamente efectivos y fáciles de usar. La tecnología de ESET incluye detección y respuesta sólidas, cifrado
ultraseguro y autenticación multifactor. Con defensa en tiempo real las 24 horas, los 7 días de la semana
y un sólido soporte local, mantiene a los usuarios seguros y a las empresas funcionando sin
interrupciones. Un panorama digital en constante evolución exige un enfoque progresivo de la
seguridad: ESET® está comprometido con una investigación de clase mundial y una potente inteligencia
sobre amenazas, respaldada por centros de I+D y una sólida red global de socios. Para obtener más
información, visite https://www.eset.com/latam o síganos en LinkedIn, Facebook y Twitter.


