El malware sin descarga que amenaza gobiernos, empresas y usuarios en todo el mundo
En 2025, la amenaza cibernética ya no llega disfrazada en archivos adjuntos o ejecutables maliciosos. El nuevo enemigo es invisible, silencioso y se aprovecha de nuestra confianza en los flujos web cotidianos. Su nombre es ClickFix, una técnica de infección sin archivos que ha escalado posiciones hasta convertirse en uno de los principales vectores de ataque del año. Y ahora, con su variante FileFix, el escenario se vuelve aún más alarmante.
Un crecimiento del 517 % en lo que va de año
Según datos recientes publicados por ESET, los ataques basados en ClickFix han aumentado un 517 % en 2025, representando ya el 8 % de todos los ataques bloqueados por sus sistemas de detección. Solo el phishing supera actualmente a esta técnica en volumen.
Lejos de ser un ataque menor, ClickFix se ha consolidado como una amenaza transversal, afectando desde pequeñas empresas hasta gobiernos y grandes infraestructuras críticas. Su capacidad de infiltrarse sin necesidad de descargas lo convierte en uno de los métodos más eficaces para burlar los sistemas de defensa tradicionales.
Una amenaza global con epicentros definidos
El equipo de Unit 42 (Palo Alto Networks) ha documentado incidentes de respuesta en sectores como servicios financieros, manufactura, gobierno y alta tecnología. Las regiones con mayor actividad maliciosa relacionada con ClickFix son Japón, Perú, Polonia, España y Eslovaquia, aunque su presencia se ha detectado ya en más de 40 países.
Este panorama global demuestra que ClickFix no es una amenaza aislada, sino una herramienta ampliamente adoptada por cibercriminales y grupos de ciberespionaje.
De Booking.com al espionaje internacional
En diciembre de 2024, Microsoft detectó campañas activas suplantando a Booking.com, dirigidas especialmente al sector hotelero en América del Norte, Oceanía, Asia y Europa. Estas campañas utilizaban páginas falsas con flujos de CAPTCHA falsos y desencadenaban la ejecución de comandos desde el navegador sin intervención adicional del usuario.
Grupos estatales como APT28 (Rusia), Kimsuky (Corea del Norte) y MuddyWater (Irán) también han integrado ClickFix en sus campañas ofensivas entre noviembre de 2024 y febrero de 2025, marcando un cambio estratégico en la ciberguerra: no atacar con malware tradicional, sino con ingeniería social y flujos web manipulados.
FileFix: la evolución más sigilosa
El 23 de junio de 2025, el investigador mr.d0x presentó públicamente una nueva variante: FileFix. A diferencia del ClickFix original, que usaba el diálogo «Ejecutar» de Windows para lanzar comandos, FileFix se apoya en el Explorador de Archivos para ejecutar payloads maliciosos desde rutas aparentes e inofensivas.
Apenas dos semanas después de su divulgación, ReliaQuest y otros equipos de ciberinteligencia ya han identificado campañas reales utilizando FileFix, lo que confirma la rapidez con la que los actores maliciosos incorporan nuevas técnicas.
Multiplataforma y sin clics
La amenaza no se limita a Windows. Investigaciones de c/side han demostrado que ClickFix ya se ha adaptado para funcionar en macOS, Android e iOS. En entornos móviles, basta con visitar una web comprometida para que el dispositivo quede afectado, en lo que se conoce como un ataque «drive-by» sin interacción.
Esto marca un hito en el panorama de amenazas: un ataque que no requiere ni un solo clic puede comprometer teléfonos, tablets o portátiles por igual.
Un mercado negro profesionalizado
Como ocurre con todo lo rentable en el cibercrimen, ClickFix se ha convertido en una mercancía. Los llamados «builders» permiten a ciberdelincuentes sin conocimientos técnicos generar páginas armadas con flujos ClickFix personalizados. El código para ello se comparte abiertamente en GitHub, como es el caso del «reCAPTCHA Phish Toolkit», publicado en septiembre de 2024.
Esta democratización de la amenaza ha hecho que ClickFix sea adoptado por bandas organizadas, pero también por oportunistas, estafadores y hacktivistas de bajo perfil.
Bypass a las defensas tradicionales
ClickFix elude las soluciones antimalware convencionales porque no deja rastros ejecutables iniciales. Utiliza técnicas de evasión como:
- Uso de Google Scripts y Google Sites para alojar los flujos maliciosos
- Obfuscación en JavaScript y PowerShell
- Captchas falsos para disfrazar la intención del sitio
- Diversificación de temas: facturas, actualizaciones de software, mensajes de error del sistema
El reto para los SOC: detección forense
Detectar ClickFix no es sencillo. Requiere un enfoque forense con correlación de artefactos como:
- Claves de registro RunMRU con comandos sospechosos
- Eventos de seguridad 4688 vinculados a procesos anómalos de
explorer.exe - Sesiones PowerShell elevadas tras navegación web
El 10 % de los compromisos tipo «drive-by» analizados entre marzo y mayo de 2025 estuvieron relacionados con esta técnica, según ReliaQuest.
¿Una nueva era del malware sin malware?
El fenómeno ya ha sido bautizado por Guardio como CAPTCHAgeddon, debido a la proliferación masiva de estas técnicas basadas en ingeniería social. ClickFix no es solo un exploit técnico, sino una crisis de confianza en la experiencia web diaria.
Como resume David Carrero, experto en infraestructura cloud de Stackscale (Grupo Aire):
“Estamos en un punto donde pulsar tres teclas tras ver un CAPTCHA puede comprometer toda una red corporativa. La ciberseguridad ya no es solo tecnología. Es psicología.»
Preguntas frecuentes (FAQs)
¿Qué es exactamente ClickFix y por qué es tan difícil de detectar?
ClickFix es una técnica de ataque basada en la ejecución de comandos tras engañar al usuario con un flujo web falso. No requiere descargas ni archivos, por lo que evade muchas soluciones tradicionales de seguridad.
¿Qué diferencia hay entre ClickFix y FileFix?
ClickFix utiliza el diálogo de ejecución de Windows; FileFix emplea el Explorador de Archivos para ejecutar comandos. Ambos engañan al usuario para iniciar la ejecución sin que se perciba como actividad sospechosa.
¿Puede afectar a móviles y sistemas no Windows?
Sí. Las investigaciones han confirmado que existen versiones de ClickFix que funcionan en Android, iOS y macOS mediante técnicas de “drive-by”.
¿Cómo protegerse frente a esta amenaza?
La clave está en la concienciación, el bloqueo de scripts maliciosos, el endurecimiento del navegador, y la supervisión forense proactiva en entornos corporativos. Además, es fundamental evitar ejecutar comandos sugeridos por páginas web, por muy legítimas que parezcan.
