Expertos en ciberseguridad están advirtiendo sobre una nueva campaña de malware que usa una táctica de engaño llamada ClickFix para convencer a usuarios de Mac de descargar un software malicioso conocido como Atomic macOS Stealer (AMOS).
Lo que hace especialmente peligrosa a esta campaña es que los atacantes están usando sitios web falsos que imitan a empresas conocidas, como el proveedor de telecomunicaciones estadounidense Spectrum. Estos sitios se ven casi idénticos a los reales, pero están diseñados para engañar y colarte el malware.
Una vez que la víctima entra en uno de estos sitios y descarga lo que parece ser una app legítima, recibe un script malicioso. Este script está hecho específicamente para robar contraseñas del sistema, evadir las defensas del Mac y descargar una versión de AMOS que luego se encarga de recolectar más información privada.
Según el análisis, el script usa comandos propios de macOS para hacer todo esto sin levantar sospechas. Y hay indicios de que los responsables podrían ser ciberdelincuentes de habla rusa, ya que se encontraron comentarios en ruso dentro del código del malware.
Así Funciona el Engaño: Verificación Falsa que Instala Malware
Todo empieza con una página web que finge ser del proveedor de internet Spectrum. Los dominios son casi idénticos a los reales, como panel-spectrum[.]net o spectrum-ticket[.]neto, y si no estás prestando mucha atención, es fácil caer.
Cuando entras a uno de estos sitios falsos, lo primero que ves es un mensaje que te pide pasar una verificación de hCaptcha, supuestamente para revisar la seguridad de tu conexión. Nada fuera de lo común, ¿verdad?
Pero aquí viene la trampa: al hacer clic en la clásica casilla de “Soy humano”, aparece un error que dice algo como “Error en la verificación de CAPTCHA”, y te sugiere hacer clic en un botón para realizar una "verificación alternativa".
Cuando haces clic en ese botón, lo que realmente pasa es que se copia un comando malicioso a tu portapapeles, y el sitio te da instrucciones específicas según el sistema operativo que estés usando. Por ejemplo, si estás en Windows, te dice que abras el cuadro de diálogo "Ejecutar" con Windows + R para pegar y ejecutar el comando. Si estás en Mac, te guía para abrir Terminal y correr un script de shell.
Ese script no es otra cosa que una trampa: te pide la contraseña de tu sistema (como si fuera parte del proceso normal), y en segundo plano, descarga un malware llamado Atomic Stealer, diseñado para robar información personal como contraseñas, archivos privados, e incluso accesos a tus criptomonedas.
Lo curioso es que el sitio tiene varios errores técnicos y contradicciones. Por ejemplo, a usuarios de Linux les mostraba un comando de PowerShell (¡que no sirve en Linux!), y a quienes usan Mac o Windows les daba instrucciones como “mantén presionado Windows + R”, que solo tiene sentido en una PC.
Estos fallos dejan claro que el sitio fue armado de manera apresurada y sin mucho cuidado, probablemente por atacantes que buscaban hacer daño rápido antes de que la estafa fuera detectada.
Todo esto ocurre en medio de una creciente ola de campañas que usan la táctica ClickFix, un método de engaño que se ha vuelto popular para entregar todo tipo de malware. Según expertos, quienes están detrás de estos ataques suelen usar siempre las mismas estrategias: correos falsos muy específicos (spear phishing), páginas comprometidas que se ven legítimas, o incluso el uso de plataformas confiables como GitHub para hacer llegar sus archivos maliciosos.
De CAPTCHAs Falsos a Malware
Los enlaces que se comparten a través de estos métodos suelen llevar al usuario a una página falsa con un CAPTCHA, que parece algo totalmente inofensivo. Todo da la impresión de que simplemente estás verificando que eres humano o resolviendo un pequeño problema técnico. Pero en realidad, la página está diseñada para convencerte de ejecutar comandos peligrosos en tu sistema (todo para “arreglar” un problema que en realidad no existe).
Y así, sin saberlo, muchos terminan siendo parte de su propio hackeo. Es un truco de ingeniería social muy efectivo, porque salta los controles de seguridad sin necesidad de explotar vulnerabilidades técnicas: el propio usuario se convierte en la puerta de entrada.
Este tipo de ataque, conocido como ClickFix, ya ha sido detectado en múltiples partes del mundo, incluyendo Europa, Medio Oriente, África y Estados Unidos. Aunque las campañas varían en forma, todas tienen un mismo objetivo: instalar malware, ya sea troyanos, robadores de información o incluso ransomware.
De hecho, recientemente se detectó una campaña de phishing que usaba correos falsos de Booking.com, especialmente dirigidos a hoteles y negocios de alimentos. Estos correos también incluían un CAPTCHA falso que, al ser completado, descargaba malware como XWorm RAT, PureLogs Stealer o DanaBot. El gancho es simple y adaptable, por eso ClickFix está siendo tan usado últimamente.
Y no se queda ahí: también se han visto versiones de este ataque donde se imitan banners de cookies. Sí, esos avisos típicos que te piden aceptar las cookies del sitio. En este caso, al hacer clic en “Aceptar”, se descarga un script malicioso, y el sitio incluso te dice que lo ejecutes como parte del proceso para “aceptar las cookies”.
En resumen: lo que parece una simple acción rutinaria (como hacer clic en “Aceptar” o verificar un CAPTCHA) puede ser la puerta de entrada para que tu sistema quede comprometido.
Podría interesarte leer: ¿Sabes detectar un ataque de phishing?
ClickFix: El Truco que Convierte la Rutina en una Amenaza Real
En un caso que ocurrió en abril de 2025, investigadores de Darktrace encontraron que un grupo de atacantes (del que aún no se sabe mucho) estaba usando ClickFix como punto de entrada para meterse en sistemas ajenos. El objetivo: ir ganando terreno poco a poco dentro de la red, moverse entre diferentes dispositivos conectados, y enviar datos del sistema a un servidor externo usando simples peticiones web. Todo eso sin levantar alarmas.
ClickFix, como explican los expertos, es básicamente una trampa bien disfrazada. Aprovecha errores humanos para saltarse las defensas técnicas. ¿Cómo? Engañando a los usuarios para que hagan clics o acciones que parecen totalmente normales pero que en realidad permiten que el atacante entre por la puerta grande.
No es solo un CAPTCHA inventado: los atacantes también han creado versiones falsas de servicios muy conocidos como Google reCAPTCHA o Cloudflare Turnstile. Y lo hacen tan bien que, a simple vista, parecen 100% reales. A veces incluso inyectan estos falsos CAPTCHAs en sitios legítimos que han sido hackeados, lo que lo hace aún más difícil de detectar para el usuario común.
Gracias a estas tácticas, logran colar malware bastante peligroso. Desde stealers como Lumma y StealC (que roban credenciales y datos sensible) hasta troyanos de acceso remoto (RATs) como NetSupport RAT, que permiten a los atacantes controlar tu equipo a distancia.
Y lo peor de todo: esto funciona porque ya estamos acostumbrados a ver CAPTCHAs y controles de seguridad por todos lados. Como dice Daniel Kelley de SlashNext, muchos usuarios desarrollan una especie de “fatiga de verificación”. Es decir, hacen clic casi automáticamente solo para poder seguir navegando, sin pensar dos veces lo que están aceptando. Los atacantes saben eso, y lo usan a su favor.