Una nueva campaña de phishing detectada por la firma de ciberseguridad Securonix muestra cómo los atacantes están perfeccionando las técnicas de ingeniería social para comprometer sistemas Windows, dejando en segundo plano la explotación directa de vulnerabilidades técnicas. En este caso, los correos electrónicos falsos suplantan a Booking.com para inducir a los usuarios a instalar malware de forma voluntaria mediante una técnica conocida como ClickFix, detalló ESET en un comunicado.
El ataque inicia con mensajes que aparentan notificar problemas urgentes relacionados con reservas, cancelaciones o reembolsos pendientes, un anzuelo especialmente efectivo para generar ansiedad y una sensación de urgencia en la víctima. Los correos replican con alto nivel de detalle la identidad visual, el lenguaje y la estructura de las comunicaciones legítimas de Booking.com, lo que incrementa la tasa de éxito del engaño.
Al hacer clic en el enlace incluido en el mensaje, el usuario es redirigido a un sitio web falso que imita la plataforma original. Es ahí donde se despliega la técnica ClickFix, una forma evolucionada de ingeniería social que no busca explotar fallos del sistema, sino manipular al usuario para que ejecute por sí mismo código malicioso, convencido de que está resolviendo un problema técnico legítimo.
La simulación del error como vector de ataque
En esta campaña, el engaño escala cuando el sitio fraudulento muestra una notificación falsa indicando que la página “tarda demasiado en cargar”. Al intentar recargarla, el navegador entra en modo de pantalla completa y despliega una pantalla azul de la muerte (BSOD) completamente falsa, diseñada para imitar un error crítico del sistema operativo Windows.
A diferencia de una BSOD real, esta pantalla incluye instrucciones explícitas para que el usuario copie y ejecute comandos en PowerShell o en la ventana Ejecutar de Windows, bajo el pretexto de corregir el fallo. En realidad, es en este punto donde la víctima activa directamente la cadena de infección, creyendo que sigue pasos de soporte técnico.
Qué ocurre tras ejecutar el comando
Según el análisis técnico de Securonix, el comando ejecutado descarga un proyecto malicioso desarrollado en .NET, que se compila mediante MSBuild.exe, una herramienta legítima del sistema, lo que ayuda a evadir ciertos controles de seguridad. Posteriormente, se instala un troyano de acceso remoto (DCRAT), se desactivan mecanismos de defensa como Windows Defender, se obtiene elevación de privilegios y se establece persistencia en el sistema comprometido.
Una vez activo, el malware permite control remoto, keylogging, ejecución de comandos adicionales y despliegue de nuevas cargas, como mineros de criptomonedas, además de facilitar el movimiento lateral dentro de la red para comprometer más sistemas.
ClickFix y el auge de la ingeniería social avanzada
Este incidente confirma una tendencia clara observada a lo largo de 2025: el crecimiento acelerado de técnicas como ClickFix, que registraron un incremento superior al 500 % en detecciones, posicionándose como uno de los vectores de ataque más efectivos después del phishing tradicional.
Su efectividad radica en que explotan la urgencia, el desconocimiento técnico y la confianza del usuario, utilizando errores falsos y marcas reconocidas como mecanismos de legitimación del engaño.
Más allá del usuario: la necesidad de seguridad activa
Ante técnicas de ingeniería social tan refinadas, el criterio del usuario ya no es suficiente como única barrera de defensa. Este tipo de ataques refuerza la importancia de contar con capas de seguridad activa, capaces de detectar comportamientos anómalos incluso cuando el usuario comete el error de ejecutar un comando malicioso.
Soluciones como las de ESET, con capacidades de detección de scripts maliciosos y abuso de herramientas legítimas, o servicios como Sophos MDR, que monitorean de forma continua la actividad del sistema y responden ante comportamientos sospechosos en PowerShell, permiten bloquear este tipo de ataques antes de que el daño sea irreversible, reduciendo el impacto operativo y financiero para las organizaciones.