Hace poco, investigadores de seguridad de Microsoft dieron la voz de alarma sobre una campaña de ingeniería social que aprovecha una pieza legítima del ecosistema Windows para inducir a víctimas a ejecutar código malicioso. En lugar de pedir a la gente que abra el cuadro Ejecutar y pegue un comando —una táctica ya conocida y monitorizada por muchas soluciones de detección— los atacantes están guiando a los usuarios para que lancen directamente la aplicación Windows Terminal, lo que hace que la operación parezca más técnica y, a ojos del usuario, más legítima. Puede leer la explicación original del equipo de Microsoft en su hilo público en X aquí, y una descripción general de la propia aplicación en su entrada de referencia en Wikipedia.
La trampa comienza en páginas web que simulan procesos de verificación —CAPTCHA falsos, instrucciones de solución de problemas o formularios de comprobación— y que piden al visitante que copie un bloque de texto en apariencia inofensivo. Ese texto no es un comando directo sino una cadena codificada: hex que además ha sido comprimida y sometida a una operación de XOR para ocultar su propósito. Si el usuario pega esa cadena en una sesión de Windows Terminal y la ejecuta, el flujo abre nuevos intérpretes de comandos y sesiones de PowerShell hasta que finalmente se invoca un proceso que decodifica y descomprime el script original.
El resultado de esa decodificación es la descarga de artefactos que incluyen un archivo ZIP con múltiples etapas del ataque y una copia legítima de 7‑Zip renombrada y guardada en disco con un nombre aleatorio. Al ejecutarse, esa utilidad extrae el ZIP y desencadena una cadena de acciones que persisten en la máquina, desactivan controles y exfiltran datos. Los adversarios llegan a programar tareas para asegurar su presencia, añaden exclusiones en Microsoft Defender y, finalmente, despliegan un extractor de credenciales conocido como Lumma Stealer.
Una de las técnicas más relevantes desde el punto de vista técnico es el uso de QueueUserAPC, una API de Windows que permite inyectar código en procesos ya en ejecución. En este caso, el stealer termina inyectándose en procesos de navegador como chrome.exe y msedge.exe para leer las bases de datos locales donde suelen guardarse contraseñas y otros artefactos valiosos. Si quiere revisar la explicación técnica de esa llamada de API, la documentación oficial de Microsoft detalla la función QueueUserAPC().
Los investigadores también observaron una vía alternativa: en lugar de una cadena decodificada que desencadena PowerShell, el comando comprimido puede provocar la descarga de un script por lotes con nombre aleatorio que se sitúa en AppData y genera, a su vez, un archivo VBScript en la carpeta Temp. Ese lote se ejecuta con parámetros especiales y se relanza a través de MSBuild.exe, un binario legítimo que muchos administradores utilizan para compilar proyectos .NET. Abusar de herramientas del sistema —las llamadas LOLBins o “living-off-the-land binaries”— facilita eludir controles porque el software malicioso se camufla tras ejecutables confiables; MITRE recopila este tipo de técnicas en su marco ATT&CK, por ejemplo en rutas relacionadas con MSBuild aquí.
Otro detalle interesante que reporta Microsoft es la aparente conexión con servicios de blockchain: parte del script se comunica con endpoints de RPC de cadenas de bloques, lo que sugiere una técnica de “etherhiding” para mezclar tráfico o camuflar sus comunicaciones de exfiltración. Mientras todo esto ocurre, el malware sigue con la tarea principal: recopilar datos de navegadores —ficheros Web Data y Login Data— y enviarlos a servidores controlados por los atacantes.
Más allá de la técnica concreta, lo inquietante de esta campaña es la combinación de ingeniería social y abuso de software legítimo. Los atacantes se apoyan en la percepción de confiabilidad que tiene una herramienta moderna como Windows Terminal y en la comodidad del atajo de teclado sugerido (Windows + X → I) para convencer a la víctima de que lo que está haciendo es algo rutinario y seguro.
Para usuarios y responsables de seguridad, hay varias implicaciones prácticas. La primera es recordar que ningún sitio fiable pedirá nunca que ejecute comandos arbitrarios en su máquina como método de verificación. Si una web solicita pegar instrucciones en una terminal, se trata de un fuerte indicador de riesgo. Conviene cerrar la página y verificar por vías oficiales con el servicio que supuestamente solicita la acción. Además, las organizaciones deberían revisar sus políticas de exclusiones y ejecución para asegurarse de que no se están creando atajos que los atacantes puedan aprovechar. Microsoft publica guías sobre cómo gestionar exclusiones en Defender que pueden ser útiles para administradores: guía de exclusiones de Defender.
También es recomendable aplicar controles técnicos complementarios: filtrar o bloquear descargas desde páginas sospechosas, restringir la ejecución de binarios renombrados en ubicaciones temporales, monitorizar la creación de tareas programadas inusuales y vigilar procesos que inyectan código en navegadores. Las detecciones basadas en comportamiento, junto con la segmentación de permisos (evitar el uso de cuentas con privilegios innecesarios), reducen la superficie de ataque. Para consejos generales sobre cómo reconocer y evitar phishing y otras estafas similares, la iniciativa estadounidense Stop.Think.Connect. de CISA ofrece recursos útiles: recomendaciones para detectar phishing.
Si sospecha que una máquina ha sido comprometida por esta campaña, conviene aislarla de la red, recopilar información para el análisis forense (registros de PowerShell, eventos de creación/ejecución y cadenas de procesos), y desplegar un escaneo con herramientas actualizadas. La presencia de ejecutables legítimos renombrados, tareas programadas nuevas o exclusiones recientes en soluciones antivirus son señales que merecen una investigación inmediata.
En resumen, la campaña conocida como “ClickFix” pone de manifiesto una lección clásica que sigue vigente: la tecnología legítima puede volverse peligrosa cuando los humanos son manipulados para usarla en perjuicio propio. La vigilancia del usuario, la configuración prudente de seguridad y las políticas de uso de herramientas administrativas son la primera línea de defensa contra amenazas que combinan ingeniería social y técnicas avanzadas de infección.
Para profundizar en los detalles técnicos y las recomendaciones específicas de respuesta, puede consultar el comunicado del equipo de inteligencia de Microsoft en X aquí, la documentación sobre la API usada para inyección QueueUserAPC(), y la página oficial de 7-Zip si necesita verificar la integridad de copias legítimas de ese descompresor en su web.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...