Netcrook Logo
👤 LOGICFALCON
🗓️ 24 Feb 2026  

El engaño de la “Verificación Humana”: Cómo el malware ClickFix secuestra la confianza con CAPTCHAs falsos

Una nueva campaña de ClickFix utiliza falsos desafíos CAPTCHA para robar credenciales de navegadores, criptomonedas y VPN mediante ataques sigilosos en memoria.

Todo comienza como una molestia rutinaria: aparece una página CAPTCHA pidiéndote demostrar que no eres un robot. Pero para cientos de usuarios desprevenidos a principios de 2026, hacer clic en esa casilla familiar fue cualquier cosa menos rutinario. En su lugar, desencadenó un sofisticado ataque de malware - uno que eludió las herramientas antivirus, secuestró datos sensibles y demostró lo fácil que es convertir en arma la confianza en funciones web cotidianas.

Anatomía de la trampa ClickFix

La última campaña de ClickFix fue detectada por primera vez tras un aumento en alertas de seguridad de endpoints en enero de 2026. Los analistas notaron actividad sospechosa de PowerShell que se activaba cuando los usuarios interactuaban con lo que parecía ser un CAPTCHA estándar en sitios web hackeados. Pero esta “verificación humana” era una artimaña - una que iniciaba una cadena de descarga de malware en varias etapas.

Después de que la víctima hacía clic en el CAPTCHA falso, un script de PowerShell se ejecutaba directamente desde la memoria, obteniendo cargas adicionales desde servidores controlados por los atacantes. El malware cargaba su código en procesos confiables de Windows como svchost.exe, permitiéndole perfilar el sistema y exfiltrar datos silenciosamente sin activar alarmas básicas de antivirus.

Los objetivos de ClickFix son amplios: Chrome, Edge, Brave, Tor y otros navegadores; principales billeteras de criptomonedas como MetaMask y Exodus; credenciales de VPN; e incluso cuentas de juegos como Steam. Antes de robar, el malware verifica la presencia de entornos virtuales y herramientas de seguridad, ajustando su comportamiento para maximizar el sigilo.

Para asegurar su persistencia tras reinicios, ClickFix altera la clave de registro RunMRU de Windows, haciendo que el sistema relance un script oculto de PowerShell en cada inicio. Este mecanismo de persistencia, combinado con la ejecución en memoria, convierte la detección y eliminación en un dolor de cabeza para los defensores.

Ingeniería social y sofisticación técnica

Lo que distingue a esta campaña no son solo sus trucos técnicos - es el astuto uso de la ingeniería social. Al disfrazarse de CAPTCHA, ClickFix se aprovecha de la confianza de los usuarios en elementos web familiares. Como dijo un analista, el ataque “convierte lo ordinario en un arma”, transformando una molestia diaria en una brecha devastadora.

Expertos en seguridad advierten a las organizaciones que vigilen conexiones sospechosas de PowerShell a IPs maliciosas conocidas y que examinen cuidadosamente los cambios en el registro. Los indicadores de compromiso (IoCs) incluyen varias direcciones IP y hashes de archivos, lo que resalta el alcance y adaptabilidad de la campaña.

Conclusión

La campaña de CAPTCHAs falsos de ClickFix es un recordatorio contundente: incluso las interacciones web más mundanas pueden ser subvertidas por ciberdelincuentes. A medida que los atacantes combinan destreza técnica con manipulación psicológica, la vigilancia y las defensas en capas son más críticas que nunca. La próxima vez que te pidan demostrar que eres humano, recuerda: a veces, son los robots quienes te lo piden.

WIKICROOK

ClickFix malware social engineering
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news