← Alertas
Phishing Activa

DriveSurge secuestra miles de sitios legítimos para lanzar ataques ClickFix y FakeUpdate

La operación DriveSurge usa un sistema malicioso de distribución de tráfico para redirigir visitantes de sitios legítimos comprometidos hacia páginas que instalan malware mediante las técnicas ClickFix y FakeUpdate.

2026-06-03 · Monitoreo Telegram

Contexto

DriveSurge es una operación de cibercrimen clasificada como IAB —Initial Access Broker, un negocio criminal que vende accesos a sistemas comprometidos a otros grupos— que fue reportada el 2 de junio de 2026 por Dark Reading.

La operación funciona en tres pasos. Primero, los atacantes comprometen miles de sitios web legítimos. Segundo, inyectan en esos sitios un sistema de distribución de tráfico —TDS por sus siglas en inglés— que analiza a cada visitante y decide, en milisegundos, si debe redirigirlo a una página maliciosa o dejar que vea el contenido normal. Tercero, los visitantes seleccionados son enviados a páginas que usan dos técnicas de engaño:

ClickFix: simula un error en el sistema o en la página y pide al usuario que ejecute un comando para “arreglarlo”. El comando en realidad instala malware.

FakeUpdate: muestra una alerta falsa que dice que el navegador o el sistema operativo necesita actualización urgente. La “actualización” es malware.

La peligrosidad de este ataque está en el origen: el visitante llega desde un sitio que ya conoce y en el que confía.

Impacto potencial

Para personas

Puedes llegar a una página maliciosa simplemente buscando en Google y entrando a un resultado que ya conocías. Si el sitio fue comprometido por DriveSurge, el TDS puede redirigirte sin que la dirección del sitio cambie. Si sigues las instrucciones de la alerta falsa, terminas con malware instalado en tu equipo.

El malware instalado por estas campañas suele ser un infostealer —software que roba contraseñas guardadas, tokens de sesión y cookies de navegador— o un loader que descarga ransomware.

Para organizaciones

Perspectiva GRC

Este tipo de operación explota un supuesto de confianza difícil de eliminar: los sitios conocidos son seguros. La realidad es que un sitio puede ser legítimo y estar comprometido al mismo tiempo. El contenido que ves puede ser el original; el sistema de redirección opera en segundo plano.

Las organizaciones que no tienen políticas sobre qué pueden ejecutar los empleados en sus equipos de trabajo son especialmente vulnerables a ClickFix: el empleado tiene intención legítima de “arreglar un error”, y el equipo no tiene restricciones que le impidan ejecutar el comando malicioso.

Recomendaciones

Para personas

Para organizaciones

La pregunta que debes poder responder hoy: ¿pueden los empleados ejecutar scripts o comandos con privilegios en sus equipos de trabajo sin aprobación previa?


Los ataques de ingeniería social no necesitan vulnerabilidades técnicas. Necesitan que el usuario siga una instrucción. La defensa más efectiva no es el software de seguridad, aunque ayuda. Es el criterio: saber que ningún sitio web tiene autoridad para pedirte que ejecutes comandos en tu propio equipo.