El Centro Australiano de Ciberseguridad (ACSC) acaba de alertar sobre una campaña activa que utiliza la técnica de ingeniería social conocida como ClickFix para inducir a víctimas a ejecutar comandos maliciosos y así desplegar el info‑stealer Vidar. En este esquema los atacantes comprometen sitios WordPress —con temas o plugins vulnerables— para redirigir a usuarios a páginas que fingen una verificación de Cloudflare o un CAPTCHA y les piden copiar y pegar una línea de PowerShell en su equipo. Esa simple acción, por muy inusual que parezca, es suficiente para que el malware se ejecute, elimine su binario y opere desde memoria, dificultando la investigación forense y la detección tradicional.
ClickFix explota la confianza y la prisa del usuario: el aparatado visual de “verificación” y el pretexto de una supuesta corrección de seguridad convierten una orden de PowerShell en un vector eficaz. Vidar, además de ser ofrecido como malware‑as‑a‑service, está diseñado para robar contraseñas de navegadores, cookies, carteras de criptomonedas, datos de autocompletado y detalles del sistema, y para resolver sus servidores de comando y control (C2) mediante “dead‑drop” en servicios públicos como bots de Telegram o perfiles de Steam, una técnica que complica el bloqueo simple por dominio.
La implicación práctica es clara: cualquier organización con usuarios que naveguen a sitios públicos (clientes, trabajadores remotos, partners) está en riesgo si no limita las acciones que una pestaña del navegador puede inducir en el sistema. Además, los administradores de WordPress deben entender que una instalación desactualizada o con plugins innecesarios es una plataforma eficaz para redirigir tráfico malicioso a miles de visitantes.
En términos de detección y respuesta, hay rasgos técnicos aprovechables: la ejecución de PowerShell con parámetros codificados o largos comandos “one‑liner”, tráfico hacia servicios de mensajería o perfiles públicos que actúan como dead‑drops, y la ausencia de un ejecutable persistente porque Vidar se ejecuta en memoria. Para mejorar la visibilidad es recomendable habilitar el registro avanzado de PowerShell (ScriptBlockLogging, ModuleLogging y Transcription) y centralizar esos eventos en un SIEM o plataforma EDR capaz de analizar comportamientos en memoria y cadenas de comandos antes de que el binario se borre.
Como medidas concretas de mitigación, el ACSC recomienda restricciones sobre PowerShell y la implementación de listas blancas de aplicaciones; a ello añado medidas prácticas que deberían aplicarse ya: aplicar políticas de ejecución que impidan scripts no firmados, usar Constrained Language Mode cuando proceda, implementar AppLocker o Windows Defender Application Control (WDAC) para bloquear ejecuciones no autorizadas, y reforzar AMSI y capacidades EDR que inspeccionen la memoria. Microsoft mantiene documentación técnica útil para configurar estas defensas y políticas de control de aplicaciones en entornos Windows: https://learn.microsoft.com/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control--wdac--overview.
Para los administradores de WordPress la prioridad es inmediata: actualizar núcleo, temas y plugins, eliminar componentes inactivos, aplicar hardening básico (permisos de archivos, deshabilitar edición de temas/plugins desde el panel, restringir accesos administrativos por IP o VPN) y desplegar un WAF que bloquee redirecciones y solicitudes sospechosas. También conviene instalar soluciones de monitorización de integridad de archivos y alertas de cambios en .htaccess o en plantillas que suelen ser modificadas tras una intrusión. El propio boletín del ACSC incluye indicadores de compromiso (IoC) que pueden integrar en reglas de detección y bloqueo: http://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/clickfix-distributing-vidar-stealer-via-wordpress-targeting-australian-infrastructure.
No menos importante es la defensa humana: formar a empleados y clientes para que nunca peguen comandos en una terminal o PowerShell a partir de una instrucción de una web, y promover el uso de administradores de contraseñas y autenticación multifactor para limitar el impacto del robo de credenciales. Finalmente, establecer un playbook de respuesta (aislar el host, volcar memoria, rotar credenciales expuestas, restaurar desde copias fiables) y realizar ejercicios de phishing y simulación de incidentes reducirá la ventana de exposición frente a campañas que dependen de la impulsividad del usuario.
La combinación de técnicas relativamente sencillas por parte del atacante (compromiso de WordPress + engaño visual + un solo comando PowerShell) y herramientas modernas de ocultación en memoria vuelve a poner de manifiesto que la seguridad efectiva exige controles en múltiples capas: parcheo y hardening de aplicaciones web, restricciones estrictas de ejecución en endpoints, visibilidad de la telemetría de comandos y campañas continuas de concienciación. Si gestiona infraestructura o administra sitios, actúe ahora: actualizar, restringir y monitorizar puede ser la diferencia entre un incidente menor y una filtración de credenciales masiva.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...