Más de 700 sitios comprometidos en campaña ClickFix distribuyen malware a sus visitantes
Sitios legítimos muestran páginas falsas de verificación de Cloudflare que convencen al usuario de ejecutar comandos en su propio equipo. No es un exploit técnico — es el usuario siguiendo instrucciones que parecen legítimas. Si un empleado cae, el atacante obtiene control completo del dispositivo y, desde ahí, acceso a la red corporativa.
Contexto
Atacantes explotaron una vulnerabilidad en Ghost CMS — el gestor de contenido usado por más de 700 sitios educativos y tecnológicos — para mostrar a los visitantes una pantalla de verificación falsa de Cloudflare. La pantalla instruye al usuario a abrir la consola de su sistema operativo y pegar un comando. Ese comando descarga e instala malware. La técnica, conocida como ClickFix, aprovecha que los usuarios están acostumbrados a seguir instrucciones técnicas en pantalla y que confían en el nombre de Cloudflare.
Impacto potencial
El dispositivo comprometido se convierte en punto de entrada a la red corporativa. El malware extrae credenciales guardadas, establece acceso persistente y puede moverse lateralmente hacia otros sistemas.
Para empresas con trabajo remoto, un equipo infectado fuera de la oficina tiene el mismo acceso que uno dentro. El perímetro no existe.
La exposición financiera depende de a qué tiene acceso ese empleado: si puede aprobar pagos, acceder a cuentas bancarias o ver contratos con clientes, el daño puede ser inmediato y directo.
Recomendaciones
- Si ves una pantalla de verificación en un sitio web que te pide abrir la consola del sistema o copiar un comando, cierra el navegador. Cloudflare nunca pide eso. Ninguna verificación legítima lo hace.
- Si ya lo hiciste, avisa a TI de inmediato — no esperes a ver si “pasa algo”.
- Para la empresa: ¿sabe el equipo que este tipo de instrucciones en pantalla son siempre un ataque? Una comunicación breve hoy puede evitar un incidente costoso mañana.
- Solicitar a TI que revise si algún sitio corporativo usa Ghost CMS y aplicar las actualizaciones disponibles.