En las últimas semanas la comunidad de seguridad ha vuelto a advertir sobre una táctica de ingeniería social que explota la confianza de los usuarios para que ellos mismos ejecuten código nocivo en sus equipos. Microsoft fue uno de los que dio la voz de alarma al documentar una variación de ClickFix que aprovecha consultas DNS para “apuntar” la siguiente fase del ataque, una técnica elegante porque utiliza una herramienta nativa de Windows como vehículo de entrega: nslookup se convierte en el conductor de la cadena maliciosa. Puede consultarse la explicación técnica de Microsoft en su comunicación pública sobre la investigación: MsftSecIntel en X, y para quien quiera entender cómo funciona nslookup existe documentación oficial en Microsoft Docs y guías prácticas como la de Linode.
El cuento, contado de forma simple, es el siguiente: la víctima navega a una página comprometida o maliciosa que muestra un mensaje convincente —por ejemplo, un falso CAPTCHA o instrucciones de “solución”— y le pide ejecutar un comando desde el cuadro Ejecutar de Windows. En la nueva variante, ese comando invoca cmd.exe y utiliza nslookup hacia un servidor DNS controlado por el atacante en lugar de usar el resolvedor del sistema. El resultado de esa consulta contiene, entre otras cosas, un campo Name:, y el exploit filtra esa línea para tratarla como la orden que ejecutará la etapa siguiente. Es una forma de «señalización ligera» a través de DNS: los atacantes pueden así validar que el objetivo está listo y hacer que el comportamiento malicioso parezca tráfico DNS legítimo, que muchas veces pasa desapercibido.
Ese enfoque presenta dos ventajas para el agresor. Por un lado, reduce la dependencia de peticiones HTTP clásicas, que son más fáciles de inspeccionar y bloquear; por otro, aprovecha la naturalidad del tráfico DNS para mimetizarse en la red. Microsoft señala que esta táctica permite además añadir una comprobación previa antes de entregar la carga útil final, una capa extra de control que complica la detección. El lector técnico puede profundizar en la idea de usar DNS como canal en el análisis de Microsoft y en las discusiones de la comunidad.
¿Qué sucede después de esa consulta DNS inicial? En la campaña observada, la cadena de ataque baja un archivo comprimido desde un servidor externo (identificado como "azwsappdev[.]com" en el análisis), extrae un script Python que realiza reconocimiento e información del sistema, planta un VBScript que a su vez lanza un RAT llamado ModeloRAT y deja un acceso persistente creando un acceso directo (archivo LNK) en la carpeta de inicio de Windows. Es decir, lo que comienza como una orden que el usuario introduce manualmente puede terminar con control remoto sobre la máquina y persistencia tras reinicios.
Paralelamente a este tipo de abuso, firmas de ciberseguridad han detectado un repunte en la actividad de ladrones de información (stealers) y en loaders que sirven de puente para ellos. Bitdefender, por ejemplo, documentó un renacimiento de Lumma Stealer que se está propagando a través de campañas de CAPTCHA falsas que emplean un loader conocido como CastleLoader. Este loader, hoy en versiones AutoIt, incluye comprobaciones que intentan detectar máquinas virtuales o ciertos productos de seguridad antes de desencriptar y ejecutar el stealer en memoria, lo que dificulta el análisis y la respuesta (informe de Bitdefender: bitdefender.com).
La industria ha visto múltiples variantes: CastleLoader se distribuye mediante supuestos instaladores de programas pirateados o archivos que parecen vídeos MP4, pero que son ejecutables maliciosos; otras campañas han usado instaladores NSIS falsos que ejecutan scripts VBA ofuscados antes de lanzar el loader AutoIt; y aún hay familias de loaders alternativas como RenEngine, que según Kaspersky ha servido para propagar Lumma y otros stealers con técnicas de doble loader (RenEngine → Hijack Loader → stealer). El registro geográfico de estas infecciones muestra que ninguna región está completamente a salvo: los informes citan países como India, Francia, EE. UU., España, Alemania, Brasil y México entre los más afectados (Kaspersky Securelist).
No solo Windows está en la mira. En macOS se han observado campañas sofisticadas que buscan específicamente dinero en criptodivisas y credenciales. Un ejemplo es Odyssey Stealer, descrito por Censys, que no solo roba datos de extensiones y aplicaciones de wallet sino que también instala un servicio persistente que consulta al servidor de mando y control cada minuto y puede abrir túneles SOCKS5 para enrutar tráfico. Los atacantes saben que los usuarios de Mac manejan activos en criptomonedas y apuntan a esa concentración de valor.
También hay tácticas creativas y preocupantes de ingeniería social que emplean servicios de inteligencia artificial y publicidad. Investigaciones han mostrado cómo actores maliciosos utilizan resultados patrocinados y páginas públicas en plataformas de modelos generativos (por ejemplo, enlaces que enlazan a instrucciones hospedadas en servicios como Claude) para colocar instrucciones legítimas que inducen a la ejecución de comandos en macOS o Windows; AdGuard documentó casos en los que un anuncio conduce a un dominio legítimo conocido, pero la cadena acaba distribuyendo malware a través de instrucciones aparentemente técnicas y de confianza (AdGuard). Además, analistas como Moonlock Lab han señalado que los atacantes revalorizan dominios antiguos con historial para evitar filtros y dar sensación de legitimidad, un truco que complica los bloqueos simples (Moonlock Lab).
Frente a este panorama, la prevención pasa menos por parches mágicos y más por hábitos y controles: no ejecutar comandos que reciba por una web o por correo sin verificarlos, desconfiar de supuestos CAPTCHAs que piden acciones atípicas, evitar descargar “cracks” o software pirateado y mantener herramientas de seguridad actualizadas. Para entornos corporativos, es clave contar con detección que entienda comportamientos específicos de macOS y Windows —por ejemplo, la creación de LaunchDaemons, accesos a Keychain, uso inusual de Terminal o ejecución de binarios firmados por Apple con acciones no esperadas—, algo que analistas como Flare recomiendan en su revisión sobre la oleada de stealers para macOS (Flare).
En definitiva, los atacantes ya no dependen solo de vulnerabilidades técnicas: están explotando la confianza y la costumbre. Cuando una página te pide abrir Ejecutar o la Terminal para «arreglar» algo, eso es una bandera roja. La ciberseguridad hoy exige una combinación de educación de usuarios, controles técnicos ajustados y monitoreo capaz de detectar canales discrecionales como el abuso de DNS o cadenas de loaders encadenados. Para quienes gestionan sistemas, la lección es clara: mucho ojo con los atajos que parecen rápidos y cómodos, porque a veces son precisamente el mecanismo que permite que el atacante entre por la puerta principal.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...