// AMENAZA ACTIVA · 2026

El CAPTCHA falso que ejecuta malware en tu PC

ClickFix es la cadena de ataque de navegador número 1 de 2026. Llegas a una página, ves un familiar cuadro "Verifica que eres humano", haces clic, y la página te pide presionar Win+R y pegar una línea de texto. Esa línea es malware de PowerShell. Terminas infectando tu propia máquina. SafeBrowz bloquea los sitios de entrega antes del clic, detecta el texto de instrucciones en páginas que nunca hemos visto antes, y (en Premium) detecta el intercambio silencioso del portapapeles que hace funcionar el truco.

Chrome Agregar a Chrome Firefox Firefox Edge Edge Ver cómo funciona

Funciona en Chrome, Firefox y Edge. Más de 500 marcas protegidas. Análisis de contenido con IA en más de 100 idiomas.

Qué es ClickFix realmente

ClickFix es un ataque de ingeniería social disfrazado de CAPTCHA. Abres una página (a menudo un sitio de software pirata, una verificación falsa de Cloudflare, un enlace en la descripción de un video de YouTube, o un resultado de búsqueda de un mensaje de error común). La página muestra un cuadro CAPTCHA que parece real. Haces clic en "Verificar que eres humano." En lugar de una marca de verificación, recibes instrucciones:

  1. Presiona Windows + R en tu teclado.
  2. Presiona Ctrl + V para pegar el código de verificación.
  3. Presiona Enter para completar la verificación.

La página escribió silenciosamente un comando en tu portapapeles en el momento en que hiciste clic. Cuando pegas en el diálogo Ejecutar, estás ejecutando un comando de PowerShell o mshta que descarga una carga de segunda etapa: ladrones de información como Lumma, RedLine o StealC, drenadores de billeteras cripto, o troyanos de acceso remoto. Se llama ClickFix porque el atacante presenta el malware como una "solución" para un CAPTCHA roto, y tú mismo lo ejecutas.

Por qué funciona incluso con personas inteligentes

  • Los CAPTCHAs son ruido de fondo. Los resuelves diez veces al día. Tu cerebro ya no los lee, simplemente hace clic.
  • Las instrucciones parecen solución de problemas. Presiona Win+R, pega, Enter. Es un patrón normal de soporte técnico. Nada en eso grita "malware."
  • Windows Defender no lo bloquea. Tú eres quien ejecuta el comando. Desde el punto de vista del sistema operativo, un humano abrió Ejecutar y escribió algo. Eso no es un exploit, es uso normal.
  • Los parches no ayudan. ClickFix es 100% ingeniería social. Una máquina con Windows 11 completamente actualizada con todos los parches de seguridad instalados es tan vulnerable como una con Windows 7, porque no se está explotando ningún error.

Cómo lo bloquea SafeBrowz

Tres capas. Las primeras dos son gratuitas para siempre. La tercera es Premium.

1. Lista de bloqueo de dominios

Cada dominio de entrega de ClickFix que nosotros o nuestros feeds de amenazas hemos visto está en una lista de bloqueo que se actualiza cada 6 horas. Si haces clic en un enlace a una página conocida de ClickFix, SafeBrowz bloquea la carga antes de que el CAPTCHA se muestre. Sin clic, sin envenenamiento del portapapeles, sin pegado.

2. Detección de patrones de contenido

Cada día aparecen nuevos dominios de ClickFix. Para páginas que nunca hemos visto, SafeBrowz analiza el contenido renderizado y detecta la señal: un cuadro CAPTCHA combinado con instrucciones para presionar Win+R, abrir Ejecutar, abrir Terminal o pegar en PowerShell. El análisis de contenido con IA lee la página en más de 100 idiomas y advierte antes de que interactúes.

3. Protección contra secuestro del portapapeles (Premium)

ClickFix funciona porque la página escribe en tu portapapeles sin que presiones Ctrl+C. Los usuarios Premium obtienen una protección que detecta escrituras no solicitadas en el portapapeles y bloquea el pegado hasta que confirmes. Si no copiaste nada, nada va a Ejecutar.

4 señales de que estás en una página de ClickFix

  1. El CAPTCHA te pide presionar Win+R, abrir Terminal o ejecutar un comando de PowerShell. Los CAPTCHAs reales nunca hacen esto.
  2. La página dice que el CAPTCHA "falló" y que necesitas ejecutar un "script de verificación," "script de comprobación humana" o "actualización del navegador."
  3. La URL parece cercana a una marca real, pero no te registraste allí, no la buscaste, y llegaste desde un enlace aleatorio, un anuncio o la descripción de un video.
  4. Revisas tu portapapeles y contiene algo que comienza con powershell.exe, mshta.exe, cmd.exe /c, curl o certutil. Eso es malware, no un token de CAPTCHA.

Qué hacer si ya ejecutaste el comando

Asume que hay infección. Actúa rápido.

  1. Desconéctate de internet. Desenchufa el cable ethernet, apaga el Wi-Fi. Detiene la exfiltración de datos en curso y corta el canal de acceso remoto.
  2. Escaneo completo de antivirus. Ejecuta el escaneo sin conexión de Microsoft Defender más Malwarebytes. Hazlo desde el Modo Seguro si puedes.
  3. Cambia cada contraseña que usaste en las últimas 24 horas. Hazlo desde un dispositivo limpio, no el infectado. Empieza con el correo electrónico, luego el banco, luego los exchanges cripto, luego todo lo demás.
  4. Revoca sesiones activas y mueve tus cripto. Cierra sesión en todas las sesiones activas de Google, Microsoft, GitHub, exchanges. Si tenías cripto en una billetera caliente en esa máquina, mueve los fondos a una nueva billetera desde un dispositivo limpio. Consulta nuestra guía de billetera segura para los pasos de recuperación ante drenadores.
  5. Vigila tus cuentas bancarias y cripto durante 48 horas. Los ladrones de información venden credenciales en cuestión de horas. Presta atención a inicios de sesión desconocidos, transferencias salientes, nuevas claves API o correos de restablecimiento de 2FA.

Preguntas frecuentes

¿SafeBrowz funciona en Mac?

Sí. ClickFix está orientado a Windows porque abusa del diálogo Ejecutar, pero el sitio de entrega es una página web, y eso es lo que SafeBrowz bloquea. Chrome, Firefox y Edge en macOS obtienen la misma lista de bloqueo de dominios y detección de patrones. Un usuario de Mac que llega a una página de ClickFix ve la pantalla de bloqueo igual que un usuario de Windows.

¿El nivel gratuito protege contra ClickFix?

Sí. El bloqueo de dominios y la detección de patrones en página son gratuitos para siempre. Eso detecta la gran mayoría de intentos de ClickFix, porque el truco solo funciona si la página se carga y lees las instrucciones. La protección contra secuestro del portapapeles de Premium es la red de seguridad adicional para nuevos dominios de entrega que aún no hemos visto.

Visité un sitio ClickFix pero no presioné Win+R. ¿Estoy seguro?

Sí. ClickFix no puede ejecutar código solo por ver la página. Necesita que abras el diálogo Ejecutar (o Terminal) y pegues el contenido del portapapeles. Si cerraste la pestaña antes de hacerlo, nada se ejecutó. Borra tu portapapeles por seguridad (copia cualquier texto inocuo), y listo.

Más artículos sobre tácticas e indicadores de ClickFix en el blog de SafeBrowz, incluyendo el análisis detallado CAPTCHA Falso ClickFix.

Bloquea ClickFix antes del clic

Gratuito para siempre en Chrome, Firefox y Edge. Más de 500 marcas protegidas, análisis de contenido con IA en más de 100 idiomas, protección contra secuestro del portapapeles en Premium.

Chrome Agregar a Chrome Firefox Agregar a Firefox Edge Agregar a Edge

Volver a safebrowz.com