El cuerpo del correo es texto y los gateways no encuentran nada malicioso. La página intermedia suele ser un dominio limpio recién registrado o un sitio legítimo comprometido, lo que retrasa la categorización por parte de los filtros web. Detección y bloqueo en frontera llegan tarde y la decisión final acaba siempre delante del usuario.
Qué es ClickFix
ClickFix es una técnica de ingeniería social que convence a la víctima de copiar un texto, pegarlo en una ventana del sistema operativo (habitualmente el cuadro Ejecutar de Windows abierto con Win+R, o un terminal) y pulsar Enter. Lo que se ejecuta es PowerShell, mshta, curl, bitsadmin o cualquier intérprete disponible, y lo hace con los permisos del propio usuario. El envoltorio cambia (CAPTCHA falso, error simulado de Word o Chrome, pantalla azul ficticia, enlace de reunión que pide verificación), pero el mecanismo es siempre el mismo. El segundo escalón descarga el loader real y entrega ladrones de información, RATs o accesos para campañas posteriores. La técnica salta gateways de correo, antivirus y simulaciones de phishing clásicas porque el contenido inicial es texto plano y la ejecución la inicia el usuario en su sesión.
Por qué importa
Para un equipo de seguridad operativo, ClickFix importa porque ha pasado en dieciocho meses de curiosidad de investigador a vector mayoritario de entrega de malware por correo en muchas telemetrías comerciales. ESET cifró el crecimiento de las campañas ClickFix y FakeCAPTCHA en un 517% entre el segundo semestre de 2024 y el primero de 2025. Microsoft publicó en agosto de 2025 un análisis dedicado, «Think before you Click(Fix)», que la sitúa como uno de los métodos de entrega más eficaces vistos en años, con miles de dispositivos afectados al día en su telemetría global. Adopción por actores estado-nación (APT28, Kimsuky, MuddyWater) confirma que la técnica es lo bastante madura como para ser fiable en operaciones de espionaje. La consecuencia operativa es directa: la formación clásica enseña a no abrir adjuntos ni hacer clic en enlaces, pero ClickFix pide pegar texto, un acto que la cultura ofimática considera inocuo, y la mayoría de organizaciones no tiene entrenado ese reflejo defensivo. Hay una guía operativa detallada en el blog con telemetría, reglas ASR y formación que sí funciona.
Puntos clave
La ejecución la inicia el propio usuario en su sesión. EDR y antivirus modernos no bloquean por defecto a powershell.exe lanzado desde explorer.exe porque es una secuencia normal en cualquier estación. Detectarlo exige mirar la línea de comandos, no el binario, y casar parámetros como -EncodedCommand, -nop, -W hidden o IEX.
La clave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU guarda lo que el usuario ha escrito en el cuadro Ejecutar y es la mejor fuente de evidencia primaria. Una regla que dispare ante powershell, mshta, curl, IEX, FromBase64String o URLs en ese valor produce casi cero falsos positivos en estaciones corporativas sanas.
Las reglas de reducción de superficie de ataque (ASR) de Microsoft Defender bloquean varios binarios que la cadena ClickFix necesita: scripts ofuscados, procesos hijo de Office, ejecución vía PSExec o WMI y archivos no firmados desde el endpoint. Ninguna es perfecta; las cuatro juntas suben mucho el coste de la operación. Conviene además bloquear Win+R en perfiles estándar por GPO.
El payload final está documentado: Lumma Stealer, NetSupport RAT, AsyncRAT, DanaBot, Latrodectus, XWorm, StealC, Quasar RAT y, en operaciones dirigidas, implants a medida. El objetivo varía: robo de credenciales y cookies de sesión para fraude, posicionamiento previo a ransomware o espionaje en campañas estado-nación.
La formación útil no se parece a una simulación de phishing. Lo que funciona es una regla operativa breve: ningún proveedor legítimo, ningún sistema corporativo y ninguna página web va a pedirte pegar comandos en una ventana del sistema. Si lo piden, es fraude. Repetida en formación, cartelería y onboarding rinde más que cinco simulaciones de correo.
Ejemplo: empresa con cargas en Microsoft 365 cazando un ClickFix sobre Lumma Stealer
Un puesto de finanzas en una empresa con su correo y colaboración sobre Microsoft 365 recibe un enlace a un supuesto justificante bancario. La página presenta un CAPTCHA estilo Cloudflare con casillas que no responden y ofrece la alternativa de «verificación rápida»: pulsar Win+R, pegar lo que ya está en el portapapeles y pulsar Enter. El usuario lo hace. La cadena pegada es una línea de PowerShell con -EncodedCommand que descarga un segundo script y, en pocos segundos, deja Lumma Stealer en memoria; el ladrón se lleva cookies de Edge y tokens de sesión de Microsoft 365.
El SOC detecta el ataque por tres telemetrías a la vez. La clave RunMRU de esa estación se modifica con un valor que contiene powershell y la cadena -EncodedCommand, y dispara una regla con casi cero falsos positivos. El árbol de procesos muestra explorer.exe → powershell.exe con una línea de comando larga, lo que activa una alerta de severidad alta en EDR. Una conexión saliente desde powershell.exe a un dominio recién registrado completa el cuadro. Respuesta a incidentes aísla la estación, preserva la clave RunMRU y el árbol de procesos como evidencia, rota contraseñas y revoca tokens de sesión en Entra ID y busca el mismo patrón en el resto del estate, asumiendo que la campaña habrá rebotado contra varias víctimas dentro de la misma organización.
Errores habituales
- Confiar en que el gateway de correo bloqueará ClickFix. El cuerpo del mensaje es texto; el contenido malicioso no aparece hasta el segundo o tercer salto. Hay que asumir que el lure llega al usuario y diseñar la defensa para ese punto.
- Entrenar al personal solo con simulaciones de phishing clásicas. Quien recibe el lure no abre un adjunto ni hace clic en un enlace dudoso: pega tres líneas y pulsa Enter. Si no se entrena explícitamente ese reflejo, el usuario lo hará.
- Asumir que el EDR cazará powershell.exe por defecto. La heurística no se dispara con explorer.exe → powershell.exe porque es una secuencia legítima; la detección exige mirar la línea de comandos, no el binario.
- Olvidar mshta, bitsadmin, certutil, regsvr32 y rundll32. Son LOLBins que rara vez tienen uso legítimo en una estación de empleado y deben bloquearse con AppLocker o WDAC en perfiles sin necesidad técnica.
- Dejar Win+R habilitado en perfiles estándar. La eliminación del cuadro Ejecutar mediante directiva no rompe productividad en perfiles de oficina y mata el lure más extendido de ClickFix.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué es exactamente ClickFix?
Una técnica de ingeniería social en la que el atacante convence a la víctima de copiar un texto, pegarlo en una ventana del sistema (cuadro Ejecutar o terminal) y pulsar Enter. Lo que se ejecuta es PowerShell, mshta o un binario equivalente que descarga malware con los permisos del usuario. El envoltorio cambia (CAPTCHA falso, error de Word, BSOD falso), pero el mecanismo es siempre el mismo.
¿Por qué ClickFix supera a los controles tradicionales?
Porque el correo es texto plano y los gateways no encuentran nada malicioso; la ejecución la inicia el usuario en su sesión y se hace en un binario firmado por Microsoft; y la formación clásica entrena a no abrir adjuntos ni hacer clic en enlaces, pero ClickFix pide pegar texto, que en la cultura ofimática es un acto inocuo.
¿Es ClickFix lo mismo que phishing?
Comparte el componente de ingeniería social, pero la cadena técnica es distinta. El phishing tradicional pide hacer clic en un enlace o abrir un adjunto. ClickFix pide copiar texto, pegarlo en el sistema y pulsar Enter. Por eso supera a muchos filtros y a buena parte de las simulaciones de phishing.
¿Cómo se detecta ClickFix en una organización?
Hay tres puntos de observación operativa. La clave RunMRU en HKCU guarda lo que se escribió en el cuadro Ejecutar; cualquier valor con powershell, mshta, curl, IEX o EncodedCommand es altamente sospechoso. El árbol de procesos explorer.exe → powershell.exe con parámetros largos codificados también. Y las conexiones salientes de powershell.exe o mshta.exe a dominios recién registrados cierran el cuadro.
¿Qué controles preventivos funcionan?
Reglas ASR de Microsoft Defender que bloqueen scripts ofuscados, hijos de Office y procesos no firmados; bloqueo de Win+R por GPO en perfiles estándar; PowerShell Constrained Language Mode con script block logging enviado al SIEM; AppLocker o WDAC restringiendo mshta, bitsadmin, certutil, regsvr32 y rundll32; y MFA resistente a phishing en accesos privilegiados para reducir el daño cuando el robo de credenciales tenga éxito.
¿Qué hago si una estación ya ha caído?
Aislar la estación, preservar la clave RunMRU y el árbol de procesos como evidencia, rotar contraseñas y revocar tokens de sesión en el IdP, buscar los mismos indicadores en el resto del estate y abrir el procedimiento formal de respuesta a incidentes. Las campañas suelen rebotar contra varias víctimas dentro de la misma organización antes de tener éxito.