// AMENAZA ACTIVA · 2026

El CAPTCHA falso que ejecuta malware en tu PC

ClickFix es la cadena de ataque de navegador número 1 de 2026. Llegas a una página, ves un familiar cuadro "Verifica que eres humano", haces clic, y la página te pide presionar Win+R y pegar una línea de texto. Esa línea es malware de PowerShell. Terminas infectando tu propia máquina. SafeBrowz bloquea los sitios de entrega antes del clic, detecta el texto de instrucciones en páginas que nunca hemos visto antes, y (en Premium) detecta el intercambio silencioso del portapapeles que hace funcionar el truco.

Chrome Agregar a Chrome Firefox Firefox Edge Edge Ver cómo funciona

Funciona en Chrome, Firefox y Edge. Más de 500 marcas protegidas. Análisis de contenido con IA en más de 100 idiomas.

Vista rápida

¿Qué es ClickFix?

ClickFix es un ataque de ingeniería social que muestra un mensaje de error o CAPTCHA falso pidiendo al usuario que copie y pegue un comando en la terminal de su computadora (Windows Run, PowerShell, o macOS Terminal). El comando ejecuta malware que roba credenciales, datos de billeteras cripto, y sesiones del navegador. El ataque funciona porque la víctima ejecuta el comando voluntariamente, evitando todas las protecciones del navegador. SafeBrowz detecta páginas ClickFix antes de que muestren el mensaje falso.

¿Qué es ClickFix? Definición completa

ClickFix (también conocido como ClearFake o pastejacking adaptado) es una técnica de phishing de 2024-2026 que evita las defensas tradicionales del navegador haciendo que el usuario mismo ejecute el malware. El flujo típico:

  1. Paso 1: La víctima visita un sitio comprometido o hace clic en un anuncio malicioso.
  2. Paso 2: Aparece un popup falso con un mensaje de error ("Tu navegador necesita verificación" o "CAPTCHA fallido").
  3. Paso 3: El popup pide al usuario que abra Windows Run (Win+R), PowerShell, o macOS Terminal y pegue un comando "para resolver el error".
  4. Paso 4: El comando descarga y ejecuta malware (RedLine Stealer, AsyncRAT, NetSupport RAT).
  5. Paso 5: El malware roba contraseñas guardadas en el navegador, billeteras cripto MetaMask/Phantom, y sesiones activas.

La defensa principal: NUNCA pegues comandos de terminal desde una página web. Si un sitio te pide hacer esto, es un ataque. SafeBrowz combina 3 capas de detección (listas locales, APIs de inteligencia de amenazas, y análisis de contenido con IA) para bloquear estas páginas antes de que carguen el mensaje falso. Lee más en nuestro análisis de CAPTCHA Falso ClickFix y la guía relacionada sobre pastejacking, el patrón hermano del que evolucionó ClickFix.

Qué es ClickFix realmente

ClickFix es un ataque de ingeniería social disfrazado de CAPTCHA. Abres una página (a menudo un sitio de software pirata, una verificación falsa de Cloudflare, un enlace en la descripción de un video de YouTube, o un resultado de búsqueda de un mensaje de error común). La página muestra un cuadro CAPTCHA que parece real. Haces clic en "Verificar que eres humano." En lugar de una marca de verificación, recibes instrucciones:

  1. Presiona Windows + R en tu teclado.
  2. Presiona Ctrl + V para pegar el código de verificación.
  3. Presiona Enter para completar la verificación.

La página escribió silenciosamente un comando en tu portapapeles en el momento en que hiciste clic. Cuando pegas en el diálogo Ejecutar, estás ejecutando un comando de PowerShell o mshta que descarga una carga de segunda etapa: ladrones de información como Lumma, RedLine o StealC, drenadores de billeteras cripto, o troyanos de acceso remoto. Se llama ClickFix porque el atacante presenta el malware como una "solución" para un CAPTCHA roto, y tú mismo lo ejecutas.

Por qué funciona incluso con personas inteligentes

  • Los CAPTCHAs son ruido de fondo. Los resuelves diez veces al día. Tu cerebro ya no los lee, simplemente hace clic.
  • Las instrucciones parecen solución de problemas. Presiona Win+R, pega, Enter. Es un patrón normal de soporte técnico. Nada en eso grita "malware."
  • Windows Defender no lo bloquea. Tú eres quien ejecuta el comando. Desde el punto de vista del sistema operativo, un humano abrió Ejecutar y escribió algo. Eso no es un exploit, es uso normal.
  • Los parches no ayudan. ClickFix es 100% ingeniería social. Una máquina con Windows 11 completamente actualizada con todos los parches de seguridad instalados es tan vulnerable como una con Windows 7, porque no se está explotando ningún error.

Cómo lo bloquea SafeBrowz

Tres capas. Las primeras dos son gratuitas para siempre. La tercera es Premium.

1. Lista de bloqueo de dominios

Cada dominio de entrega de ClickFix que nosotros o nuestros feeds de amenazas hemos visto está en una lista de bloqueo que se actualiza cada 6 horas. Si haces clic en un enlace a una página conocida de ClickFix, SafeBrowz bloquea la carga antes de que el CAPTCHA se muestre. Sin clic, sin envenenamiento del portapapeles, sin pegado.

2. Detección de patrones de contenido

Cada día aparecen nuevos dominios de ClickFix. Para páginas que nunca hemos visto, SafeBrowz analiza el contenido renderizado y detecta la señal: un cuadro CAPTCHA combinado con instrucciones para presionar Win+R, abrir Ejecutar, abrir Terminal o pegar en PowerShell. El análisis de contenido con IA lee la página en más de 100 idiomas y advierte antes de que interactúes.

3. Protección contra secuestro del portapapeles (Premium)

ClickFix funciona porque la página escribe en tu portapapeles sin que presiones Ctrl+C. Los usuarios Premium obtienen una protección que detecta escrituras no solicitadas en el portapapeles y bloquea el pegado hasta que confirmes. Si no copiaste nada, nada va a Ejecutar.

4 señales de que estás en una página de ClickFix

  1. El CAPTCHA te pide presionar Win+R, abrir Terminal o ejecutar un comando de PowerShell. Los CAPTCHAs reales nunca hacen esto.
  2. La página dice que el CAPTCHA "falló" y que necesitas ejecutar un "script de verificación," "script de comprobación humana" o "actualización del navegador."
  3. La URL parece cercana a una marca real, pero no te registraste allí, no la buscaste, y llegaste desde un enlace aleatorio, un anuncio o la descripción de un video.
  4. Revisas tu portapapeles y contiene algo que comienza con powershell.exe, mshta.exe, cmd.exe /c, curl o certutil. Eso es malware, no un token de CAPTCHA.

Qué hacer si ya ejecutaste el comando

Asume que hay infección. Actúa rápido.

  1. Desconéctate de internet. Desenchufa el cable ethernet, apaga el Wi-Fi. Detiene la exfiltración de datos en curso y corta el canal de acceso remoto.
  2. Escaneo completo de antivirus. Ejecuta el escaneo sin conexión de Microsoft Defender más Malwarebytes. Hazlo desde el Modo Seguro si puedes.
  3. Cambia cada contraseña que usaste en las últimas 24 horas. Hazlo desde un dispositivo limpio, no el infectado. Empieza con el correo electrónico, luego el banco, luego los exchanges cripto, luego todo lo demás.
  4. Revoca sesiones activas y mueve tus cripto. Cierra sesión en todas las sesiones activas de Google, Microsoft, GitHub, exchanges. Si tenías cripto en una billetera caliente en esa máquina, mueve los fondos a una nueva billetera desde un dispositivo limpio. Consulta nuestra guía de billetera segura para los pasos de recuperación ante drenadores.
  5. Vigila tus cuentas bancarias y cripto durante 48 horas. Los ladrones de información venden credenciales en cuestión de horas. Presta atención a inicios de sesión desconocidos, transferencias salientes, nuevas claves API o correos de restablecimiento de 2FA.

Preguntas frecuentes

¿Qué es un ataque ClickFix?

Un ataque ClickFix es una técnica de phishing que muestra un CAPTCHA o mensaje de error falso pidiendo a la víctima que copie y pegue un comando en Windows Run (Win+R), PowerShell, o macOS Terminal. Ese comando descarga e instala malware (ladrones de información como RedLine, Lumma, StealC, o troyanos de acceso remoto como AsyncRAT y NetSupport RAT). El ataque funciona porque la víctima ejecuta el comando voluntariamente, así que el navegador y Windows Defender lo ven como uso legítimo. Es 100% ingeniería social: ningún parche del navegador o sistema operativo lo detiene.

¿Cómo me protege SafeBrowz contra ClickFix?

SafeBrowz aplica 3 capas de protección contra ClickFix. Capa 1 (gratis): listas locales de bloqueo de dominios actualizadas cada 6 horas, así los sitios conocidos de entrega ClickFix nunca cargan. Capa 2 (gratis): API de inteligencia de amenazas del lado del servidor (Google Safe Browsing, PhishTank, URLhaus). Capa 3 (Premium): análisis de contenido con IA que lee la página renderizada en más de 100 idiomas y detecta la firma ClickFix (cuadro de CAPTCHA combinado con instrucciones para presionar Win+R, abrir Terminal, o pegar en PowerShell), incluso en dominios nuevos que nadie ha visto antes. Premium también incluye detección de escrituras silenciosas al portapapeles, que es lo que hace funcionar el truco.

¿Qué hago si ya ejecuté el comando ClickFix?

Actúa como si tu máquina estuviera infectada, porque probablemente lo está. Pasos en orden: 1) Desconéctate de internet (cable ethernet fuera, Wi-Fi apagado) para detener la exfiltración. 2) Ejecuta un escaneo completo con Microsoft Defender Offline más Malwarebytes desde Modo Seguro. 3) Desde un dispositivo diferente y limpio, cambia las contraseñas de correo electrónico, banco, exchanges cripto, y cualquier cuenta usada en las últimas 24 horas. 4) Si tenías una billetera cripto caliente en esa máquina, mueve los fondos a una nueva billetera ahora mismo desde un dispositivo limpio (consulta nuestra guía de billetera segura). 5) Vigila tus cuentas durante 48 horas por inicios de sesión desconocidos o transferencias.

¿SafeBrowz funciona en Mac?

Sí. ClickFix está orientado a Windows porque abusa del diálogo Ejecutar, pero el sitio de entrega es una página web, y eso es lo que SafeBrowz bloquea. Chrome, Firefox y Edge en macOS obtienen la misma lista de bloqueo de dominios y detección de patrones. Un usuario de Mac que llega a una página de ClickFix ve la pantalla de bloqueo igual que un usuario de Windows.

¿El nivel gratuito protege contra ClickFix?

Sí. El bloqueo de dominios y la detección de patrones en página son gratuitos para siempre. Eso detecta la gran mayoría de intentos de ClickFix, porque el truco solo funciona si la página se carga y lees las instrucciones. La protección contra secuestro del portapapeles de Premium es la red de seguridad adicional para nuevos dominios de entrega que aún no hemos visto.

Visité un sitio ClickFix pero no presioné Win+R. ¿Estoy seguro?

Sí. ClickFix no puede ejecutar código solo por ver la página. Necesita que abras el diálogo Ejecutar (o Terminal) y pegues el contenido del portapapeles. Si cerraste la pestaña antes de hacerlo, nada se ejecutó. Borra tu portapapeles por seguridad (copia cualquier texto inocuo), y listo.

Más artículos sobre tácticas e indicadores de ClickFix en el blog de SafeBrowz, incluyendo el análisis detallado CAPTCHA Falso ClickFix, la guía de drenadores de billeteras cripto 2026, las mejores extensiones anti-estafa de 2026, el patrón hermano pastejacking, y nuestra guía nueva Uniswap: verifica tu billetera (estafa). También compara opciones en alternativas a Wallet Guard.

Bloquea ClickFix antes del clic

Gratuito para siempre en Chrome, Firefox y Edge. Más de 500 marcas protegidas, análisis de contenido con IA en más de 100 idiomas, protección contra secuestro del portapapeles en Premium.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Volver a safebrowz.com