En los últimos meses, los atacantes han dejado de depender de fallos técnicos para vulnerar sistemas: ahora manipulan directamente a los usuarios. Es el caso de ClickFix, una campaña de ingeniería social tan simple como peligrosa, que convierte al propio usuario en vehículo del malware.
Detectada en marzo de 2024, esta táctica ha crecido con rapidez y ya afecta no solo a Windows, sino también a macOS, Linux, Android e iOS. A través de anuncios maliciosos o ventanas emergentes que simulan errores del sistema, los atacantes instruyen al usuario a presionar Win + R, Ctrl + V y luego Enter. Así, la víctima ejecuta sin saberlo un script que evade los filtros de seguridad tradicionales.
Las consecuencias son graves: robo de credenciales, acceso remoto, ransomware o malware persistente oculto en tareas programadas o bibliotecas del sistema. Todo esto ocurre sin que salten alertas, porque el propio usuario inició la ejecución.
ClickFix ilustra la evolución de la ingeniería social: no se limita a correos de phishing mal redactados, sino que se mimetiza con la rutina digital. El problema no es solo el software, sino la confianza ciega del usuario ante instrucciones que no comprende.
Esta amenaza nos recuerda que no basta con antivirus o firewalls. Es urgente invertir en educación digital, fomentar el pensamiento crítico y desconfiar de cualquier comando o mensaje inesperado, por muy legítimo que parezca.
ClickFix se disfraza de solución, pero expone una verdad incómoda: el eslabón más débil sigue siendo humano. enaela.garcia@cycsas.com.mx contacto@cycsas.com.mx
