TempMail Ninja
//

Campañas de phishing avanzadas: ClickFix en macOS y ConsentFix en Microsoft 365

10 min de lectura
TempMail Ninja
Campañas de phishing avanzadas: ClickFix en macOS y ConsentFix en Microsoft 365

La nueva era de las campañas de phishing: Manipulación de confianza y protocolos nativos

El panorama de las amenazas digitales en el año 2026 ha alcanzado un nivel de madurez técnica e ingeniería social verdaderamente alarmante. Los atacantes ya no dependen exclusivamente del desarrollo de exploits complejos de día cero para infiltrarse en sistemas corporativos o comprometer dispositivos de gama alta. En su lugar, han perfeccionado la psicología de la interacción del usuario y la manipulación de los protocolos de confianza nativos de los sistemas operativos y las plataformas en la nube. Esta tendencia se manifiesta con fuerza en el surgimiento simultáneo de dos sofisticadas campañas de phishing que priorizan la evasión de las defensas perimetrales y los protocolos de autenticación multifactor (MFA).

Por un lado, los usuarios de macOS se enfrentan a la técnica “ClickFix”, propagada mediante anuncios patrocinados en la red social X (anteriormente Twitter) que distribuyen software malicioso a través de la Terminal del sistema. Por el otro, los entornos corporativos de Microsoft 365 están siendo blanco de “ConsentFix” (también conocido como AuthCodeFix), un sofisticado ataque nativo de navegador que secuestra sesiones de usuario mediante el abuso del protocolo OAuth 2.0, sin necesidad de instalar malware local ni de robar contraseñas. Ambos vectores demuestran que la ingeniería social moderna ya no busca que la víctima introduzca sus credenciales en un formulario falso, sino que la persuade para que ejecute comandos operativos o apruebe permisos de API legítimos, transformando al usuario en el facilitador de su propio compromiso.

1. macOS “ClickFix”: El engaño de DynamicLake y la evasión técnica de Gatekeeper

El vector de entrada: Cuentas verificadas y anuncios patrocinados en X

La primera de estas campañas de phishing aprovecha la infraestructura publicitaria de la plataforma X para generar un alto nivel de confianza inicial. Los ciberdelincuentes secuestran cuentas verificadas con grandes volúmenes de seguidores (las cuales cuentan con la insignia azul de verificación) para desplegar campañas de anuncios patrocinados. Al utilizar cuentas con reputación e insignias de verificación legítimas, los anuncios evaden con facilidad los filtros automáticos de detección de fraude de la red social.

El gancho publicitario promociona una versión fraudulenta de “DynamicLake”, una utilidad real y popular para macOS diseñada para emular la función “Dynamic Island” de los iPhone modernos en la muesca (notch) de las MacBook. Cuando el usuario hace clic en el anuncio, es redirigido a un dominio malicioso de apariencia idéntica al original, como dynamicmacisland[.]com.

La evasión de Gatekeeper: El peligro de la ejecución directa en la Terminal

El verdadero peligro del ataque “ClickFix” radica en cómo manipula las medidas de seguridad integradas de Apple. Tradicionalmente, macOS utiliza Gatekeeper para verificar que las aplicaciones descargadas de internet cuenten con firmas digitales de desarrolladores autorizados y hayan sido notarizadas por Apple. Si un archivo .dmg no cumple con estos requisitos, el sistema bloquea su ejecución.

Para eludir este control de manera absoluta, el sitio web malicioso muestra una alerta falsa de error o de “verificación humana” (el núcleo de la técnica ClickFix). Esta alerta instruye al usuario a realizar una serie de pasos manuales:

  1. Hacer clic en un botón para copiar un comando preconfigurado en su portapapeles.
  2. Abrir la aplicación nativa de la Terminal en su Mac.
  3. Pegar el código copiado y presionar Enter para iniciar la supuesta instalación o verificación.

Dado que los comandos ejecutados directamente dentro de la interfaz de la Terminal no son sometidos a la evaluación estándar de Gatekeeper —la cual está diseñada para analizar paquetes de instalación y binarios de aplicaciones independientes—, el script se ejecuta de forma silenciosa con los privilegios nativos del usuario. El comando de la Terminal generalmente invoca intérpretes de comandos de Linux/macOS como osascript o bash para descargar un script cargador (loader) desde un servidor remoto controlado por el atacante, evadiendo por completo las firmas y los análisis estáticos de seguridad.

El impacto del payload: Atomic Stealer (AMOS) y DigitStealer

Una vez que el cargador remoto se ejecuta en la Terminal, despliega de manera silenciosa variantes avanzadas de ladrones de información (infostealers), específicamente Atomic Stealer (también conocido en el ámbito técnico como AMOS o MacSync) y DigitStealer. Estos programas maliciosos están altamente optimizados para la plataforma Apple y realizan un barrido inmediato del sistema de la víctima para exfiltrar:

  • Credenciales y contraseñas almacenadas en el Apple Keychain (Llavero del sistema).
  • Cookies de sesión de navegadores web populares (Chrome, Firefox, Brave), lo que permite a los atacantes saltarse el MFA en múltiples plataformas web mediante el secuestro de sesiones activas.
  • Archivos locales confidenciales ubicados en directorios clave, incluyendo datos de iCloud.
  • Llaves privadas y frases semilla de billeteras de criptomonedas populares (como MetaMask, Trust Wallet y Exodus).

2. ConsentFix en Microsoft 365: El bypass definitivo de MFA sin malware

La mecánica del ataque: Abuso del flujo de código de autorización de OAuth 2.0

De forma paralela al ataque en macOS, los entornos corporativos se enfrentan a un vector de ataque sofisticado y puramente basado en navegador: ConsentFix. A diferencia de los ataques de phishing tradicionales que buscan capturar contraseñas o de los proxies adversarios en el medio (AiTM) que interceptan sesiones, ConsentFix no roba credenciales ni requiere la instalación de software malicioso en el equipo de la víctima. En su lugar, explota la confianza inherente del protocolo de autorización OAuth 2.0 y la infraestructura de identidad de Microsoft Entra ID.

La cadena de ataque comienza cuando el usuario es dirigido, mediante resultados de búsqueda envenenados (SEO poisoning) o enlaces en correos maliciosos, a una página web de aspecto profesional. Cuando la víctima intenta interactuar con el sitio, este inicia un flujo de autenticación OAuth legítimo hacia el portal oficial de Microsoft (login.microsoftonline.com). Debido a que el portal de inicio de sesión es 100% auténtico, el usuario introduce su contraseña y aprueba con éxito su correspondiente método de autenticación multifactor (MFA) sin sospechar absolutamente nada.

El truco técnico se ejecuta en el proceso de redireccionamiento. Cuando se completa la autenticación para una herramienta nativa de línea de comandos de Microsoft (como Azure CLI o Azure PowerShell), el protocolo redirige el navegador a una dirección de bucle local (localhost), comúnmente en la forma de http://localhost:8400/?code=AQAB..., transportando el código de autorización de OAuth. Como el sistema local del usuario no tiene un servidor web escuchando activamente en ese puerto en ese instante, el navegador muestra una pantalla de error genérica de conexión.

Es aquí donde entra la ingeniería social de ConsentFix: la página de phishing original muestra un mensaje simulado (“Error de sincronización de Microsoft” o un desafío de CAPTCHA falso) que instruye al usuario a copiar la dirección URL completa de la barra de direcciones del navegador (que contiene el valioso código de autorización de un solo uso) y pegarla en un cuadro de texto para “solucionar” el error de acceso. En versiones avanzadas de este kit (como ConsentFix v3), los atacantes han automatizado este proceso mediante mecanismos de arrastrar y soltar (drag-and-drop), simplificando drásticamente la interacción requerida por el usuario.

La mina de oro: Azure CLI y la arquitectura FOCI de Microsoft

En cuanto el usuario pega la URL con el código de autorización en la plataforma del atacante, el servidor de este último toma dicho código de inmediato y lo envía en una solicitud POST directamente a los servidores de Microsoft para canjearlo por un token de acceso y un token de actualización (access y refresh tokens). Este canje de credenciales se realiza de manera 100% legítima ante el proveedor de identidad corporativo.

La razón por la cual herramientas como Azure CLI son los objetivos predilectos de este ataque radica en su clasificación interna dentro de Microsoft Entra ID. Azure CLI está registrada como una aplicación de “primer nivel” (first-party application) desarrollada por la propia Microsoft. Bajo las configuraciones estándar de los inquilinos (tenants) de Microsoft 365, las aplicaciones de primer nivel disfrutan de privilegios específicos:

  • No requieren consentimiento administrativo previo: Un usuario común y corriente de la organización puede autorizar su uso sin que intervenga un administrador de TI.
  • Están exentas de restricciones de aplicaciones de terceros: Incluso si la empresa ha bloqueado de forma estricta las integraciones de software externo, Azure CLI y herramientas similares suelen estar permitidas por defecto.
  • Abuso del ecosistema FOCI: Microsoft implementa la arquitectura “Family of Client IDs” (Familia de IDs de Cliente). Esto significa que una vez que el atacante obtiene un token de actualización válido para una aplicación de la familia (como Azure CLI), puede utilizar ese mismo token de manera silenciosa para solicitar tokens de acceso para otros servicios de la misma suite, como Microsoft Teams, SharePoint Online, Visual Studio o la infraestructura de Azure, sin necesidad de que el usuario vuelva a autenticarse ni de activar alertas de MFA.

Gracias a los tokens de actualización obtenidos a través de la arquitectura FOCI, los ciberdelincuentes garantizan una persistencia silenciosa en la nube de la organización comprometida por períodos prolongados, que pueden extenderse hasta un máximo de 90 días si no se revoca manualmente la sesión de usuario.

La evolución a ConsentFix v3: Automatización del pipeline de secuestro de tokens

La maduración técnica de esta amenaza ha dado lugar a la suite criminal conocida como ConsentFix v3. Esta versión de la herramienta automatiza por completo el flujo de explotación para los atacantes. Entre sus características de diseño más agresivas, el kit incluye filtros condicionales avanzados que exigen el ingreso de una dirección de correo electrónico corporativa para permitir el ingreso a la página trampa, bloqueando activamente a investigadores de seguridad, sandboxes y cuentas personales genéricas.

Adicionalmente, si la víctima ya cuenta con una sesión de Microsoft 365 activa en su navegador en el momento de interactuar con el sitio, ConsentFix v3 es capaz de procesar el flujo de obtención de tokens en segundo plano, omitiendo por completo la necesidad de mostrar una pantalla de inicio de sesión convencional y explotando las cookies de sesión preexistentes del navegador.

Estrategias de mitigación: Blindando la infraestructura contra ataques de consentimiento y ClickFix

La contención de estas sofisticadas tácticas de evasión requiere que las organizaciones abandonen los modelos preventivos tradicionales basados exclusivamente en la detección de malware en el punto final (endpoint), migrando hacia esquemas de monitoreo continuo y políticas estrictas de Confianza Cero (Zero Trust).

Defensas críticas para entornos macOS

Para mitigar eficazmente las campañas de phishing que utilizan el método “ClickFix” para desplegar malware en dispositivos Apple, los administradores de sistemas y equipos de seguridad de la información deben implementar las siguientes pautas:

  • Restricción del uso de Terminal y lenguajes de scripting: Configurar perfiles de gestión de dispositivos móviles (MDM) para restringir el acceso a la aplicación Terminal únicamente a personal autorizado, y monitorear de cerca el uso de herramientas nativas de scripting como AppleScript y osascript.
  • Detección de comportamientos anómalos (EDR): Implementar soluciones de detección y respuesta en endpoints (EDR) capaces de correlacionar procesos de forma jerárquica. Específicamente, deben alertar y bloquear de inmediato cuando un proceso de la Terminal intente invocar conexiones salientes de red no habituales (como curl o wget dirigidos a dominios sospechosos) para descargar y ejecutar código sobre la marcha.
  • Campañas de concientización enfocadas en flujos de trabajo: Entrenar a los usuarios finales para que comprendan una regla de oro en el ecosistema Apple: ningún desarrollador legítimo de software firmado y notarizado solicitará jamás que se ejecuten comandos copiados en la Terminal para instalar o reparar una aplicación de consumo general.

Controles esenciales para Microsoft Entra ID y Office 365

Para anular la eficacia de ataques de consentimiento como ConsentFix, los equipos de administración de identidad en la nube deben aplicar configuraciones de endurecimiento técnico avanzadas:

  • Políticas de Acceso Condicional (Conditional Access) robustas: Configurar políticas estrictas en Microsoft Entra ID que limiten la autenticación en aplicaciones de administración altamente expuestas (como Azure CLI y Azure PowerShell) únicamente desde dispositivos que cumplan con los requisitos de cumplimiento de la organización (compliant devices) o desde rangos de direcciones IP corporativas de confianza.
  • Restricción del registro y uso de aplicaciones de primer nivel: Aunque las herramientas de administración de primer nivel son nativas de Microsoft, es sumamente recomendable desactivar el consentimiento de los usuarios para aplicaciones de Azure y PowerShell si estos no desempeñan roles técnicos de administración de TI.
  • Auditoría activa de los registros de inicio de sesión (Sign-In Logs): Implementar reglas de detección en el SIEM corporativo para identificar patrones anómalos en los registros de Microsoft Entra ID, tales como solicitudes de tokens de autenticación para Azure CLI seguidas de inmediato por intercambios de tokens FOCI para acceder de manera inusual a SharePoint Online o Microsoft Teams.
  • Fuerza en MFA resistente al phishing: Transicionar, siempre que sea posible, hacia métodos de autenticación resistentes al phishing, tales como llaves de seguridad FIDO2 o la autenticación basada en certificados (CBA), para evitar que los atacantes puedan interceptar con éxito las credenciales durante el inicio de sesión inicial.
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.