← Alertas
Phishing Activa

Más de 700 sitios comprometidos en campaña ClickFix distribuyen malware a sus visitantes

Sitios legítimos muestran páginas falsas de verificación de Cloudflare que convencen al usuario de ejecutar comandos en su propio equipo. No es un exploit técnico — es el usuario siguiendo instrucciones que parecen legítimas. Si un empleado cae, el atacante obtiene control completo del dispositivo y, desde ahí, acceso a la red corporativa.

2026-05-26 · Malwarebytes Labs

Contexto

Atacantes explotaron una vulnerabilidad en Ghost CMS — el gestor de contenido usado por más de 700 sitios educativos y tecnológicos — para mostrar a los visitantes una pantalla de verificación falsa de Cloudflare. La pantalla instruye al usuario a abrir la consola de su sistema operativo y pegar un comando. Ese comando descarga e instala malware. La técnica, conocida como ClickFix, aprovecha que los usuarios están acostumbrados a seguir instrucciones técnicas en pantalla y que confían en el nombre de Cloudflare.

Impacto potencial

El dispositivo comprometido se convierte en punto de entrada a la red corporativa. El malware extrae credenciales guardadas, establece acceso persistente y puede moverse lateralmente hacia otros sistemas.

Para empresas con trabajo remoto, un equipo infectado fuera de la oficina tiene el mismo acceso que uno dentro. El perímetro no existe.

La exposición financiera depende de a qué tiene acceso ese empleado: si puede aprobar pagos, acceder a cuentas bancarias o ver contratos con clientes, el daño puede ser inmediato y directo.

Recomendaciones

Leer fuente original →