Así como la tecnología avanza a pasos agigantados, el cibercrimen no se queda atrás. Los actores maliciosos desarrollan constantemente nuevas tácticas para obtener información confidencial o beneficios económicos. En este contexto, surge una técnica relativamente reciente de ingeniería social conocida como ClickFix, utilizada para distribuir malware en los dispositivos de las víctimas.

A continuación, analizaremos de qué se trata esta técnica, cómo son sus ataques, con ejemplos recientes en el mundo y casos que muestran su presencia en América Latina.

¿Qué es clickfix?

Esta técnica de ingeniería social —documentada por primera vez a principio de 2024— utiliza ventanas emergentes que simulan problemas técnicos y manipulan a sus víctimas para que ejecuten scripts maliciosos. ¿La excusa? Que se necesita actualizar el navegador, que hay un error al abrir un documento, problemas con el micrófono en Google Meet o Zoom o, incluso, que se debe ingresar un CAPTCHA para continuar.

clickfix.fake-notification.1
Imagen 1: Ejemplo de notificación falsa sobre problemas al navegar con Google Chrome.

Su nombre se debe a que las notificaciones falsa, suelen contener un botón con una relación directa el verbo "to fix" (Fix it, How to fix, Fix). Aunque en realidad, se está ejecutando la descarga de malware.

Estas instrucciones suelen ser:

  • Hacer clic en el botón para copiar el código que “resuelve” el problema
  • Presionar las teclas [Win] + [R]
  • Presionar las teclas [Ctrl] + [V]
  • Presionar [Enter]

Lo que sucede detrás de toda esta secuencia es, en realidad:

  • La primera indicación hace una copia de un script invisible para el usuario
  • La segunda abre la ventana Ejecutar
  • La tercera pega el script de PowerShell en la ventana Ejecutar
  • Con el cuarto paso, el código se inicia con privilegios del usuario actual, y el malware se descarga e instala en el equipo.
Lectura recomendada:¿Qué es la Ingeniería Social?

¿Cómo funcionan los ataques de clickfix?

Primero, los cibercriminales obtienen permisos de administrador de los sitios web con credenciales robadas que les permiten instalar plugins falsos en estos sitios. Los plugins inyectan JavaScript malicioso, con una variante conocida de malware. Al ejecutarse en el navegador mostrará notificaciones de actualización del navegador, que inducirán a que las víctimas instalen malware en el equipo. Hablamos de troyanos de acceso remoto o infostealers (Vidar Stealer, DarkGate y Lumma Stealer).

En sí, la táctica clickfix busca engañar a las personas para que descarguen el malware y lo ejecuten sin la necesidad de una descarga directa desde el navegador ni alguna ejecución manual de archivos. De hecho, el malware se ejecuta en la memoria en vez de escribirse en el disco. Así, logra evadir los mecanismos de seguridad del navegador, y no levanta sospecha en los usuarios. 

Durante este tipo de ataque, los sitios comprometidos van mostrando falsas alertas, las cuales advierten que la página o documento no puede mostrarse hasta tanto el usuario haga clic en “Fix It” y siga los pasos correspondientes. De hacerlo, el usuario termina ejecutando código malicioso e instalando malware, sin saberlo.

Es importante mencionar que el llamado a la acción hacia la víctima puede variar: desde “Arreglar el problema” a “Demuestra que eres humano” (páginas falsas de CAPTCHA). A continuación, algunos ejemplos de cómo se visualiza este ataque, en sitios maliciosos que suplantan la identidad de organizaciones como Google Chrome y Facebook.

clickfix.fake-notification
Imagen 2: Ejemplo de alertas falsas de inconvenientes técnicos. Fuente:blog.sekoia.io/

Así, fue empleada en diversas campañas de distribución de malware, involucrando páginas webs comprometidas, infraestructuras maliciosas de distribución y hasta correos de phishing.

Según informa el Departamento de Salud y Servicios Humanos de los Estados Unidos en su análisis de la distribución de este malware, “los atacantes también podrían estar apuntando a usuarios que buscan juegos, lectores de PDF, navegadores Web3 y aplicaciones de mensajería”.

Lectura recomendada:
¿Se puede manipular con ingeniería social a la inteligencia artificial?

Clickfix: ejemplos de campañas recientes

En mayo de 2025, se conoció una campaña en la que cibercriminales distribuían malware utilizando la técnica de clickfix, pero mediante videos de TikTok posiblemente generados con IA. ¿Su objetivo? Infectar los equipos con infostealers como Vidar y StealC, y llevar a sus víctimas a ejecutar comandos maliciosos en sus sistemas, con la excusa de que así podrían desbloquear funciones premium o bien activar software legítimo

En marzo de ese año, una campaña denominada ClearFake se valió también de la técnica clickfix para distribuir el malware del tipo Lumma Stealer y Vidar Stealer, esta vez mediante Verificaciones falsas de reCAPTCHA y Cloudflare Turnstile

Pero aún hay más ejemplos. En octubre de 2024, a través de páginas falsas de Google Meet se distribuyeron infostealers tanto en sistemas Windows como macOS, usando la técnica de clickfix. La táctica es la ya mencionada: mostrar mensajes de un supuesto error en el navegador, para que la víctima ejecute un código malicioso de PowerShell.

En un último ejemplo, aportado usuario en X, se advierte sobre controles de bots falsos de Cloudflare, que ejecutan comandos si el usuario hace clic.

clickfix.fake-notification-2
Imagen 3: Notificacion falsa de actividad sospechosa. Fuente: @AlvieriD 

ClickFix: cómo distribuye malware en América Latina

Más allá de los casos compartidos para comprender el modus operandi de esta técnica, podemos nombrar ejemplos vistos en América Latina.

Escuela de Ingeniería Industrial de la Universidad Católica

Un especialista compartió en abril 2025 en la red social X una campaña donde se observan los pasos que le son sugeridos a la víctima, para que termine infectándose con malware sin saberlo.

clickfix.fake-notification-chile
Imagen 4: Engaño de ClickFix en la web de universidad de Chile.

Fondo de Vivienda Policial de Perú

El sitio web de este organismo oficial peruano también se vio comprometido, confirmando la presencia de esta campaña en la región.

clickfix.fake-notification-peru
Imagen 5: Notificación falsa en el navegador Ópera, en web de organismo peruano.

Además de estos casos en Chile y Perú, también se han reportado casos en Argentina, Brasil, Colombia y México, lo que confirma la presencia de esta nueva técnica en América Latina.

¿Cómo protegerse ante este tipo de ataques?

Para no ser víctima de los ataques que involucran ClickFix, hay medidas concretas que puedes aplicar. Por ejemplo:

  • Informarte: la educación sobre esta y otras tácticas de ingeniería social y phishing es clave para reconocerlas y no caer en la trampa.
  • Contar con una solución antimalware: es el primer paso para estar protegido, siempre manteniéndote al día con las actualizaciones.
  • Activar el doble factor de autenticación: es clave por si las credenciales de acceso de tus cuentas caen en las manos equivocadas.
  • Estar al día con las actualizaciones de sistemas operativos, softwares y aplicaciones.