ClickFix no es un malware en sí mismo, sino una sofisticada técnica de ingeniería social que ha demostrado ser altamente efectiva para comprometer sistemas informáticos. Su éxito radica en aprovechar dos aspectos clave del comportamiento humano y de los sistemas modernos de seguridad: la fatiga de verificación multifactor (MFA fatigue) y el uso de páginas falsas de CAPTCHA que imitan servicios legítimos. El objetivo final es lograr que el propio usuario, sin saberlo, ejecute comandos que instalan malware en su dispositivo.
Una nueva cara para una vieja técnica
Investigadores de ciberseguridad han documentado campañas recientes de ClickFix en las que se utiliza una página falsa que imita a la perfección el sistema de verificación humana de Cloudflare, llamado Turnstile. Esta tecnología ha sustituido al antiguo CAPTCHA de Cloudflare, en línea con una tendencia generalizada hacia mecanismos de seguridad menos intrusivos y más fluidos para el usuario.
Cloudflare es una empresa ampliamente conocida que presta servicios para mejorar la seguridad y el rendimiento de millones de sitios web en todo el mundo. Prácticamente cualquier usuario habitual de internet ha pasado por una pantalla de verificación de Cloudflare Turnstile al intentar acceder a un sitio web, por lo que este tipo de desafío resulta familiar y no genera sospechas.
Turnstile funciona ejecutando pequeños desafíos en JavaScript que permiten distinguir si el visitante es un humano o un bot, sin requerir que el usuario marque cuadros ni resuelva acertijos visuales. Esta sutileza ha sido aprovechada por los atacantes para crear réplicas exactas de la página original.
La trampa: una página casi indistinguible de la real
En los casos observados, la página falsa de Turnstile está cuidadosamente diseñada para parecer legítima: incluye el logotipo oficial de Cloudflare, el identificador Ray ID al pie de la página y todos los elementos visuales esperados. Esta “clonación perfecta” cumple su propósito: convencer al usuario de que está ante una simple verificación de rutina. Sin embargo, detrás de esa apariencia inofensiva, se esconde un proceso malicioso.
Al acceder a la página falsa, se activa en segundo plano un proceso invisible para el usuario. Concretamente, se carga un comando de PowerShell en el portapapeles del sistema. Luego, cuando el usuario hace clic en la casilla de verificación que dice «Verifica que eres humano», aparece una ventana emergente que le pide seguir una serie de pasos adicionales. Estos pasos parecen parte del proceso de validación y no levantan sospechas.
La ejecución del malware: el usuario como vector de ataque
El mensaje emergente solicita al usuario que presione las teclas Win+R, seguidas de Ctrl+V y luego Enter. Este sencillo conjunto de instrucciones desencadena todo el ataque:
- Win+R abre el cuadro de diálogo «Ejecutar» de Windows.
- Ctrl+V pega en ese cuadro el contenido del portapapeles (es decir, el comando malicioso).
- Enter ejecuta el comando en PowerShell, que suele descargar y ejecutar malware desde un servidor remoto.
Este tipo de ataque es especialmente difícil de detectar por las soluciones tradicionales de antivirus o protección en el endpoint. Como explica Lionel Litty, arquitecto jefe de seguridad en Menlo Security, «los productos de seguridad tienen visibilidad limitada sobre el comportamiento dentro del navegador, por lo que suelen pasar por alto estos ataques».
Técnicas avanzadas: ingeniería social + LoLBins
La táctica empleada en ClickFix combina ingeniería social con una técnica conocida como Living off the Land Binaries (LoLBins). En lugar de utilizar ejecutables maliciosos (que podrían ser detectados), el ataque se basa en herramientas legítimas del propio sistema operativo, como PowerShell. Así lo destaca James Maude, CTO en BeyondTrust: «El usuario no ejecuta un binario malicioso, sino comandos de PowerShell que parecen legítimos, lo que complica su detección incluso para soluciones de respuesta ante amenazas (EDR)».
Uno de los pocos indicios de que algo no va bien aparece en el texto de la ventana emergente. Mientras que Cloudflare escribe su nombre con una sola mayúscula, en este caso se muestra “CloudFlare Challenge” con una ‘F’ mayúscula no habitual. Este pequeño detalle puede pasar desapercibido, especialmente si el usuario está apurado por completar la verificación y acceder al contenido.
Este fenómeno se conoce como fatiga de verificación: cuando las personas se enfrentan repetidamente a advertencias o desafíos sin consecuencias visibles, tienden a ignorarlos o a actuar de forma automática, bajando su nivel de atención.
Malware distribuido mediante ClickFix
Las campañas que utilizan ClickFix han sido utilizadas para distribuir diferentes tipos de malware. Entre ellos destacan:
- Lumma y Stealc: herramientas de robo de información que capturan credenciales, cookies, tokens de autenticación y otros datos sensibles.
- NetSupport Manager: un software legítimo de acceso remoto que, en manos de atacantes, permite tomar el control total del sistema de la víctima como si fuera un troyano de acceso remoto (RAT).
Vectores de ataque y distribución
La página falsa de Cloudflare Turnstile puede ser entregada de múltiples maneras, incluyendo:
- Malvertising: anuncios maliciosos que redirigen a los usuarios a sitios de phishing.
- Enlaces en redes sociales: publicaciones diseñadas para atraer ciertos perfiles de víctimas, como trabajadores de la salud.
- Sitios web comprometidos o falsos: páginas creadas exclusivamente para alojar el ataque o sitios legítimos que han sido hackeados.