La confianza en las herramientas del sistema se ha convertido en el nuevo objetivo de los ciberdelincuentes. Durante este mes de marzo de 2026, se ha detectado un aumento alarmante en la campaña denominada ClickFix, una técnica de ingeniería social que engaña a los usuarios para que ejecuten código malicioso directamente en la terminal de sus equipos. El objetivo final es la instalación del malware Lumma Stealer, capaz de vaciar carteras de criptomonedas y robar credenciales de acceso en cuestión de segundos.
El engaño: Soporte técnico falso y urgencia artificial
El ataque comienza cuando un usuario visita un sitio web comprometido o recibe un mensaje que simula un error crítico del sistema o del navegador. La página muestra un cuadro de diálogo convincente que insta al usuario a "reparar" el problema siguiendo unos pasos sencillos.
La trampa consiste en solicitar al usuario que abra Windows Terminal o PowerShell mediante atajos de teclado y pegue un comando proporcionado por la web. Al hacerlo, el usuario está eludiendo involuntariamente todas las capas de protección del navegador, entregando el control de la consola directamente a los atacantes.
Lumma Stealer y la vulnerabilidad del portapapeles
Una vez que el comando se ejecuta, se activa un script que descarga e instala Lumma Stealer. Este malware está diseñado específicamente para la exfiltración de datos sensibles. Su éxito radica en el aprovechamiento de la confianza del usuario y en ciertas vulnerabilidades en la gestión de la visibilidad del portapapeles, donde el código pegado suele estar ofuscado para ocultar su verdadera intención.
Lumma es capaz de rastrear archivos de configuración, cookies de sesión y datos de autocompletado de formularios. En entornos corporativos, esto puede suponer el compromiso total de cuentas de administrador si el usuario tiene privilegios elevados en el momento de ejecutar el comando.
Recomendaciones para administradores y usuarios
La prevención es la única defensa efectiva contra el ClickFix. Es fundamental entender que ninguna entidad legítima de soporte técnico solicitará jamás a un usuario que copie y pegue comandos desde un sitio web hacia una terminal para resolver un error de navegación.
Para los administradores de sistemas, se recomienda implementar políticas de restricción de ejecución de scripts y monitorizar el uso de PowerShell en cuentas no administrativas. Además, la formación de los empleados es clave: se debe inculcar la regla de oro de la administración de sistemas: nunca ejecutes un comando cuyo origen y función no comprendas al cien por cien.
En un entorno digital donde los ataques son cada vez más creativos, la precaución al usar herramientas potentes como Windows Terminal es la diferencia entre un sistema seguro y una brecha de datos masiva.
0 Comentarios