Las bandas de ransomware ya no necesitan explotar vulnerabilidades técnicas complejas para penetrar redes corporativas. Hoy, basta con disfrazar una amenaza como una herramienta de soporte legítima. La operación de ransomware Interlock, activa desde finales de septiembre de 2024, está utilizando precisamente esta táctica en su campaña conocida como ClickFix.
ClickFix no es un malware tradicional. Es una forma de ingeniería social cuidadosamente diseñada para engañar a las víctimas y hacer que ellas mismas ejecuten comandos peligrosos de PowerShell en sus sistemas, con la promesa de solucionar errores o completar procesos de verificación. Pero en realidad, están dando acceso directo al malware, que cifra archivos y compromete por completo la seguridad del dispositivo.
Aunque esta técnica ya se había relacionado con otras infecciones, la confirmación de su uso por parte de Interlock marca una escalada alarmante. Este grupo no opera bajo el modelo clásico de ransomware como servicio, pero mantiene un portal de filtración de datos en la dark web, donde extorsiona a sus víctimas con demandas que van desde cientos de miles hasta millones de dólares.
El caso de Interlock y su táctica ClickFix es una señal clara de cómo los actores de amenazas están refinando sus métodos para explotar el factor humano. Comprender cómo funciona este engaño es el primer paso para evitar caer en él.
Interlock, el grupo detrás de varias campañas de ransomware, ya había usado antes métodos bastante engañosos para colarse en redes empresariales: desde falsas actualizaciones de navegadores hasta instaladores de VPN modificados. Pero a principios de 2025, dieron un paso más con una nueva táctica conocida como ClickFix.
Según investigadores, fue en enero cuando empezaron a detectar esta técnica. La estrategia es sencilla pero efectiva: los atacantes crean páginas que parecen legítimas (como si fueran de Microsoft o herramientas conocidas como Advanced IP Scanner), y colocan un falso CAPTCHA. El usuario cree que está completando una verificación normal, pero en realidad, al seguir las instrucciones, termina ejecutando comandos en su computadora que descargan y ejecutan malware.
Detectaron esta técnica en al menos cuatro sitios diferentes, todos con nombres que imitan servicios reales:
microsoft-msteams[.]com/comprobación-adicional.html
microstteams[.]com/verificación-adicional.html
ecologilives[.]com/verificación-adicional.html
advanceipscaner[.]com/comprobación-adicional.html
De todos ellos, solo el último (el que suplanta a Advanced IP Scanner, una herramienta que usan frecuentemente técnicos de IT) contenía un instalador malicioso. Y eso es precisamente lo peligroso: la trampa está disfrazada justo como algo que un profesional podría usar sin pensarlo dos veces.
Alojamiento de páginas Cebo ClickFix de Interlock (Fuente: Sekoia)
Cuando la víctima hace clic en el botón “Repararlo”, lo que realmente ocurre es que se copia un comando malicioso de PowerShell directamente al portapapeles. Si la persona lo pega y lo ejecuta (ya sea en la terminal de Windows o desde el comando “Ejecutar”), el sistema descarga una carga útil de 36 MB creada con PyInstaller.
Para hacerlo aún más creíble, el navegador abre automáticamente el sitio legítimo de Advance IP Scanner, lo que ayuda a despistar a quien lo esté usando y le hace pensar que todo va bien.
Mientras tanto, el instalador que se baja sí instala la aplicación original, como si fuera legítima, pero al mismo tiempo ejecuta por detrás un script de PowerShell oculto.
Ese script hace varias cosas: crea una clave en el registro de Windows para mantenerse activo cada vez que se reinicie el sistema, y luego empieza a recolectar información del equipo. Desde la versión del sistema operativo, los permisos del usuario, hasta los procesos que se están ejecutando y las unidades disponibles.
Los investigadores de Sekoia detectaron que, una vez hecha esta primera parte, el servidor de comando y control (C2) responde enviando distintas cargas maliciosas, como LummaStealer, BerserkStealer, keyloggers e incluso el propio Interlock RAT.
Este último es un tipo de troyano bastante directo pero flexible: puede robar archivos, ejecutar comandos de terminal y lanzar DLL maliciosas, todo en segundo plano y sin levantar sospechas.
Comandos Interlock RAT admite
Después de lograr el acceso inicial y desplegar una herramienta de acceso remoto, los operadores detrás de Interlock no pierden tiempo: se mueven lateralmente dentro de la red, aprovechando credenciales robadas para conectarse a otros equipos a través de RDP (Remote Desktop Protocol). Además, en varios ataques se ha observado el uso de herramientas comunes como PuTTY, AnyDesk y LogMeIn, lo que les permite mantener el acceso y seguir expandiéndose sin levantar demasiadas sospechas.
Una vez tienen el control suficiente, ejecutan uno de los pasos más críticos: la exfiltración de datos. Aquí es donde los archivos robados se suben a contenedores de almacenamiento en la nube de Azure, pero que están bajo el control del atacante. Esto les garantiza tener en su poder la información, incluso si más tarde la víctima logra recuperar sus sistemas sin pagar el rescate.
En sistemas Windows, la variante de Interlock está programada para ejecutarse automáticamente todos los días a las 8:00 p. m.. Lo hacen mediante una tarea programada que permite repetir el cifrado en caso de que el primero no haya tenido éxito. Sin embargo, el ransomware es lo suficientemente inteligente como para evitar cifrar archivos más de una vez, gracias a un filtrado por extensión que evita problemas de redundancia.
Por otro lado, la nota de rescate que deja Interlock ha ido evolucionando. Las versiones más recientes ya no solo exigen el pago, sino que insisten en las consecuencias legales que podría enfrentar la víctima si los datos robados se hacen públicos. Una forma de presión psicológica cada vez más común en este tipo de ataques.
Y como si eso no fuera suficiente, lo más alarmante es que ClickFix se ha vuelto una táctica popular entre otros actores maliciosos. Incluso se ha detectado su uso por parte de grupos vinculados a Corea del Norte, como parte de campañas dirigidas a personas que buscan trabajo en la industria de las criptomonedas. Los atacantes se aprovechan de ese interés para atraer a sus víctimas y llevarlas directo a la trampa.
La última nota de rescate de Interlock
Podría interesarte leer: ¿Qué es el RDP y cómo protegerlo de vulnerabilidades?
La mejor defensa contra este tipo de campañas es una combinación de educación, buenas prácticas y herramientas de seguridad. Aquí te dejamos una lista con las recomendaciones más importantes:
1. No descargar herramientas desde foros desconocidos: Evita instalar programas desde sitios que no sean los oficiales del desarrollador. Si necesitas una solución para un problema técnico, consulta siempre las páginas verificadas.
2. Usar protección antivirus avanzada: Elige soluciones de seguridad que incluyan análisis basados en comportamiento, ya que los malware modernos suelen evadir firmas tradicionales. Una buena opción es TecnetProtect, una solución completa que no solo detecta amenazas en tiempo real, sino que también protege endpoints, previene ataques de ransomware y ofrece backup seguro.
3. Aplicar políticas de mínimos privilegios: Limita los permisos de los usuarios para que no puedan instalar software sin aprobación del departamento de IT.
4. Capacitación continua: Realiza entrenamientos periódicos de concienciación en ciberseguridad para todos los trabajadores, enfocándote en identificar fraudes, ataques de phishing y técnicas de ingeniería social. En TecnetOne, ofrecemos un servicio especializado de capacitación para usuarios finales, diseñado para fortalecer la cultura de seguridad dentro de las organizaciones. Nuestros programas están pensados para ser prácticos, actualizados y adaptados a los distintos niveles de conocimiento, asegurando que cada persona sepa cómo actuar ante posibles amenazas.
5. Controlar el tráfico web: Implementa filtros de navegación para bloquear sitios sospechosos y mantener actualizadas las listas negras.
6. Backups frecuentes: Haz copias de seguridad de forma regular y almacénalas fuera de línea para evitar que también sean cifradas en caso de infección.
La campaña ClickFix de la banda Interlock es un ejemplo claro de cómo los ciberdelincuentes están evolucionando para explotar no solo vulnerabilidades técnicas, sino también humanas. La distribución de herramientas falsas de soporte técnico es una estrategia efectiva porque se aprovecha de la confianza que los usuarios depositan en las soluciones que encuentran en línea. Para mantenerse protegido, es fundamental adoptar una mentalidad proactiva en ciberseguridad: educar, prevenir, monitorear y responder con rapidez.