FileFix: Nuevo Ataque que Usa “Cache Smuggling” para Evadir Antivirus
Adrian León 10/10/2025 Ciberseguridad, Antivirus
4 Minutos

La ingeniería social sigue evolucionando, y ahora los ciberdelincuentes han encontrado una forma de ocultar malware en la memoria caché del navegador para burlar las defensas más avanzadas. Este nuevo método, conocido como FileFix, fue detectado recientemente por investigadores de Expel y ya preocupa a expertos en ciberseguridad por su capacidad de pasar inadvertido ante soluciones antivirus tradicionales.

En TecnetOne, te explicamos cómo funciona este ataque, por qué es tan peligroso y qué puedes hacer para proteger tu organización.

 

¿Qué es el ataque FileFix?

 

El ataque FileFix es una evolución del conocido ClickFix, un tipo de ingeniería social diseñado por el investigador “Mr.d0x”.

A diferencia de los métodos tradicionales que engañan al usuario para ejecutar comandos maliciosos desde el sistema operativo, FileFix usa el Explorador de archivos de Windows como vehículo de ataque.

En pocas palabras: el atacante convence a la víctima de copiar y pegar una ruta aparentemente inofensiva, pero que en realidad ejecuta un script de PowerShell oculto en la misma línea.

La versión más reciente, descubierta por el investigador Marcus Hutchins (Expel), agrega un componente mucho más sofisticado: el “cache smuggling”, una técnica que aprovecha el almacenamiento del navegador para introducir archivos maliciosos sin que el usuario ni el antivirus lo detecten.

 

Lee más: Ataque CacheWarp: Vulnerabilidad Crítica en AMD SEV Descubierta

 

Cómo se desarrolla el ataque paso a paso

 

El ataque comienza con una página web falsa que se hace pasar por un verificador de cumplimiento de VPN de Fortinet, conocida como “Fortinet VPN Compliance Checker”.

El sitio muestra un cuadro con instrucciones para copiar una ruta de red supuestamente legítima:

 

\\Public\Support\VPN\ForticlientCompliance.exe

 

A simple vista parece un camino normal hacia un archivo corporativo, pero lo que el usuario no ve es que la línea contiene 139 espacios ocultos seguidos de un comando de PowerShell malicioso.

Cuando el usuario sigue las instrucciones, abre el Explorador de archivos, pega la ruta y presiona Enter, Windows ejecuta el comando escondido sin mostrar nada visible en pantalla.

El resultado: el script de PowerShell se ejecuta en modo “headless” (sin ventana) y comienza a preparar el entorno para la infección.

 

Fortinet VPN Compliance Check FileFix lure

Archivo de verificación de cumplimiento de VPN de Fortinet FileFix (Fuente: Expel)

 

Qué hace el script malicioso

 

Una vez activado, el script realiza una serie de pasos automatizados:

 

  1. Crea una carpeta falsa de Fortinet en el sistema local:

    %LOCALAPPDATA%\FortiClient\compliance

 

  1. Copia archivos de la caché de Google Chrome, ubicada en:

    %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\

 

  1. Analiza esos archivos en busca de datos específicos entre dos marcadores ocultos (“bTgQcBpv” y “mX6o0lBw”).

 

  1. Extrae el contenido encontrado, que en realidad es un archivo ZIP disfrazado de imagen JPEG, y lo descomprime bajo el nombre ComplianceChecker.zip.

 

  1. Finalmente, ejecuta el archivo FortiClientComplianceChecker.exe, que contiene el código malicioso real.

 

Este proceso ocurre en cuestión de segundos, y como el archivo ya estaba almacenado en la caché, el script no necesita conectarse a internet ni descargar nada.

 

How a copied command appears in File Explorer address bar

Cómo aparece un comando copiado en la barra de direcciones del Explorador de archivos (Fuente: Expel)

 

Qué es el “cache smuggling” y por qué evade los antivirus

 

El cache smuggling o “contrabando de caché” es la parte más innovadora (y peligrosa) de este ataque.

Cuando la víctima entra a la página falsa, un script de JavaScript le ordena al navegador descargar una supuesta imagen JPEG.

El servidor responde diciendo que es una imagen legítima, por lo que el navegador la guarda automáticamente en su caché.

Sin embargo, el archivo no es una imagen, sino un ZIP con malware oculto.

Cuando el comando de PowerShell se ejecuta más tarde, el malware ya está dentro del sistema, almacenado de forma aparentemente inocente en la carpeta de caché.

Como ni el sitio ni el script descargan archivos de forma explícita, los sistemas de seguridad que analizan descargas o tráfico sospechoso no detectan nada anormal.

En palabras de Marcus Hutchins:

“El malware logra introducir un ZIP completo en el sistema local sin que PowerShell haga ninguna solicitud web. Es un ataque que pasa completamente desapercibido para muchas soluciones de seguridad.”

 

IUAM ClickFix Generator interface

Interfaz del generador IUAM ClickFix (Fuente: Unit 42)

 

Ingeniería social: el eslabón débil

 

El éxito del ataque FileFix depende de un solo factor: la interacción humana.

Los atacantes utilizan sitios con diseños profesionales y logotipos legítimos para inspirar confianza.

Incluso imitan la apariencia de marcas reconocidas como Fortinet, Cloudflare, Microsoft, TradingView o Teams, todas muy utilizadas en entornos corporativos.

En los casos investigados, los atacantes pedían a los usuarios seguir pasos “técnicos” para “verificar el cumplimiento de seguridad VPN”. Este lenguaje formal hace que las víctimas bajen la guardia y obedezcan las instrucciones sin sospechar.

 

Otras variantes: ClickFix Generator

 

El informe también reveló la existencia de una herramienta llamada “IUAM ClickFix Generator”, creada para automatizar la generación de ataques de este tipo.

Este kit, identificado por investigadores de Palo Alto Unit 42, permite a los atacantes:

 

  1. Diseñar páginas falsas con textos, colores y logotipos personalizados.

 

  1. Generar comandos maliciosos adaptados a Windows o macOS.

 

  1. Detectar el sistema operativo del usuario para enviar cargas útiles distintas.

 

  1. Incluir falsos captchas de Cloudflare o Speedtest para aumentar la credibilidad.

 

Las campañas que usan este generador ya han distribuido malware como DeerStealer (Windows), Odyssey (Mac) y otros stealers diseñados para robar credenciales y datos personales.

 

Microsoft ClickFix lure

Cebo de Microsoft ClickFix (Fuente: BleepingComputer)

 

Cómo protegerte del ataque FileFix

 

En TecnetOne, sabemos que los ataques de ingeniería social son tan efectivos como difíciles de detener. Por eso, la prevención y la educación del usuario son tus mejores defensas.

Aquí tienes las medidas clave que debes adoptar:

 

  1. Nunca copies ni pegues comandos o rutas desde sitios web.
    Ningún sistema legítimo requiere que ejecutes manualmente comandos desde tu navegador o Explorador de archivos.

 

  1. Verifica siempre las URL.
    Comprueba que la dirección web empiece con “https://” y pertenezca al dominio oficial de la empresa.

 

  1. Desactiva la ejecución automática de PowerShell.
    Puedes restringir los scripts desconocidos mediante políticas de grupo (GPO) o configuraciones de seguridad.

 

  1. Mantén actualizado tu navegador y antivirus.
    Las actualizaciones corrigen vulnerabilidades que podrían permitir que la caché sea manipulada.

 

  1. Implementa soluciones de protección de endpoints (EDR/XDR).
    Estas herramientas detectan comportamientos sospechosos, incluso si los archivos no son descargados explícitamente.

 

  1. Capacita a tus equipos.
    Una buena formación en ciberseguridad puede reducir hasta en un 70% la probabilidad de caer en ataques de phishing y manipulación.

 

También podría interesarte: Ataque de Envenenamiento de Caché

 

Conclusión

 

El ataque FileFix demuestra que los ciberdelincuentes no necesitan romper las barreras de los firewalls ni usar exploits sofisticados para infiltrarse en los sistemas.

A veces basta con aprovechar la confianza del usuario y las funciones normales del navegador para introducir malware de forma silenciosa.

El uso de técnicas como cache smuggling marca una nueva generación de amenazas que no dependen de descargas visibles ni archivos ejecutables tradicionales.

Desde TecnetOne, te recomendamos adoptar una postura proactiva: fortalecer tus controles, monitorear el comportamiento de tus endpoints y, sobre todo, educar a los usuarios para que piensen antes de hacer clic.

Tag:

Ciberseguridad Antivirus

Qilin Ransomware Ataca a Asahi y Filtra Datos Confidenciales

Artículo Anterior

Qué es un NOC: Funciones, Beneficios y Cómo Protege tu Empresa

Siguiente Artículo
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, kaspersky, Antivirus, Sophos
Gustavo Sánchez 07/24/2025

Antivirus para Empresas: Sophos vs ESET, Bitdefender y Kaspersky

Si tienes una empresa (sea chica, mediana o apenas arrancando) sabes que contar con un buen

Leer más
Ciberseguridad, Antivirus, Sophos
Adan Cuevas 07/04/2025

¿Qué es Sophos Endpoint Protection?

¿Buscas una forma efectiva de proteger tus dispositivos y datos contra virus, ransomware y otros

Leer más
Ciberseguridad, Microsoft, windows365, Antivirus
Jonathan Montoya 06/26/2025

Microsoft Rediseña la Seguridad de Windows sin Antivirus en el Kernel

En 2024 ocurrió uno de los fallos tecnológicos más sonados de los últimos tiempos. Fue en julio,

Leer más