Sign in

Si una web te pide copiar un comando, ¡desconfía!

Si una web te pide copiar un comando, ¡desconfía!

Una verificación falsa, un aviso técnico convincente y un gesto que parece inocente pueden acabar abriendo la puerta a malware, robo de sesiones y acceso no autorizado a cuentas. ClickFix no destaca por su sofisticación visual, sino porque intenta que sea la propia persona quien ejecute la acción peligrosa.

Introducción

No hace falta descargar un fichero sospechoso para meterse en un problema. A veces basta con entrar en una página, ver un mensaje que dice que hay un error del navegador o una comprobación pendiente y seguir unas instrucciones que parecen rutinarias: copiar, pegar y pulsar Intro. Ese es el núcleo de ClickFix.

El engaño funciona especialmente bien cuando tenemos prisa, cuando la página imita una verificación conocida o cuando el mensaje promete una solución inmediata. En un entorno universitario eso puede pasar mientras revisamos una convocatoria, accedemos a una videollamada, descargamos un artículo, entramos en un repositorio o abrimos un servicio que parece familiar.

Lo importante no es memorizar nombres técnicos, sino reconocer una idea sencilla: una web normal no necesita que pegues comandos en la consola, en Ejecutar, en Terminal o en PowerShell para demostrar que eres una persona ni para “reparar” un fallo de acceso. Cuando aparece esa petición, hay que frenar.

Qué es ClickFix y por qué importa

ClickFix es una técnica de ingeniería social que presenta una incidencia falsa y convence a la víctima para ejecutar por sí misma un comando malicioso. A veces adopta forma de CAPTCHA, otras veces de aviso de actualización, de problema con el audio de una reunión, de error de navegador o de mensaje de seguridad. Cambia el disfraz, pero la lógica es la misma: “haz esto para continuar”. [Proofpoint, 2024] [Microsoft, 2025]

Ese detalle cambia mucho las cosas. En vez de forzar una descarga visible o pedir credenciales en un formulario sospechoso, la página intenta que uses herramientas normales del sistema operativo. Por eso el mensaje puede parecer más legítimo de lo que es. No te pide “instalar malware”; te pide “resolver un problema”. [NCSC, 2026] [University of Oregon, 2026]

Para la persona, la capa visible es sencilla: una molestia técnica y unas instrucciones. Por debajo, la capa del sistema puede incluir la apertura de la ventana Ejecutar, el pegado de una orden ya copiada al portapapeles, la descarga de scripts y la puesta en marcha de un malware que roba información o mantiene acceso. Y en la capa de ayuda, lo razonable es cortar cuanto antes la cadena, pedir apoyo y revisar cuentas, sesiones y dispositivo. [Microsoft, 2025] [HHS HC3, 2024]

Importa porque encaja muy bien con nuestra forma de trabajar. En la Universidad convivimos con portales externos, herramientas de colaboración, videollamadas, recursos docentes, trámites, buscadores, nubes documentales y dispositivos personales. Cuanto más normal parece la tarea, más fácil es bajar la guardia. No hace falta ser una persona “poco técnica” para caer: basta con interpretar el mensaje como una instrucción administrativa o como una verificación rutinaria.

Qué se ve desde fuera: señales útiles y límites

La primera señal es la más importante: una página web te pide abrir una herramienta del sistema. Puede ser Ejecutar en Windows, Terminal en macOS o una consola equivalente. Eso ya debería sonar raro. Las webs legítimas te piden hacer clic, iniciar sesión, revisar permisos o completar un formulario. No te piden lanzar comandos manuales para seguir navegando. [NCSC, 2026] [University of Oregon, 2026]

Otra señal frecuente es la mezcla de prisas y autoridad visual. El mensaje habla de error DNS, fallo de actualización, extensión necesaria, problema con el micrófono o comprobación humana pendiente. Usa un tono técnico, pero muy corto. No explica nada con claridad; solo empuja a obedecer. Esa economía del lenguaje no es casual. Cuanto menos tiempo te deje pensar, mejor funciona el engaño.

También conviene fijarse en la secuencia de teclas. Si una supuesta verificación te indica pulsar combinaciones de teclado, pegar texto, abrir una ventana del sistema y confirmar con Intro, no estás ante una comprobación normal. El hecho de que los atajos sean reales no convierte la petición en legítima. Al contrario: ese es precisamente el truco.

Ahora bien, ninguna señal aislada resuelve todos los casos. Hay webs torpes, mensajes mal redactados y errores auténticos que pueden parecer sospechosos. Por eso no se trata de diagnosticar a ojo, sino de adoptar una regla clara: ante una petición de copiar comandos, se detiene la acción, se cierra la pestaña si hace falta y se contrasta por otra vía. Esa pausa corta el problema antes de que empiece.

Qué ocurre por dentro, sin jerga innecesaria

En muchos casos la página ya ha preparado un texto en el portapapeles. La persona cree que está copiando un “código de verificación”, pero en realidad lo que pega después es una orden para que el sistema haga algo que no debería: descargar un script, abrir un intérprete, lanzar una tarea en segundo plano o conectarse a un servidor remoto. [NCSC, 2026] [Microsoft, 2025]

Desde fuera, la experiencia puede durar diez segundos. Desde dentro, ese tiempo basta para que el equipo empiece a ejecutar instrucciones con los permisos de la persona que está usando el ordenador. Si ese equipo tiene acceso al correo, al navegador, a sesiones ya abiertas o a documentos sincronizados, el problema puede extenderse más allá de una sola página.

Aquí aparece una segunda capa de riesgo muy importante: no siempre buscan solo la contraseña. Algunos de estos fraudes terminan instalando programas que buscan cookies de sesión, historiales, credenciales guardadas, monederos o información del navegador. Dicho de forma simple: aunque no hayas escrito tu clave en una web falsa, alguien podría intentar aprovechar lo que ya estaba abierto o guardado en tu equipo. [Microsoft, 2025] [NCSC, 2026] [ESET, 2025]

La tercera capa es la persistencia. Un comando aparentemente corto puede descargar otra cosa, y esa otra cosa puede preparar nuevas acciones para volver a ejecutarse después, para comunicarse con un servidor externo o para dejar al atacante una puerta de entrada más estable. Por eso es un error pensar que “como solo pegué una línea, no habrá pasado nada”. A veces lo importante no es la longitud del texto, sino lo que desencadena.

En macOS también se han observado variantes que empujan a usar Terminal o a aceptar pasos que parecen administrativos. En Windows son muy habituales las secuencias con Ejecutar o PowerShell, pero la idea de fondo no pertenece a un único sistema operativo. Lo que se explota no es tanto la plataforma como la confianza en una instrucción presentada como solución rápida. [Microsoft, 2025] [University of Oregon, 2026]

Qué está en juego en la Universidad

En un campus no solo hay cuentas personales. Hay correo institucional, expedientes, actas, tutorías, bibliotecas, formularios, movilidad, investigación, trámites de personal, equipos compartidos y accesos temporales desde casa, despacho, aula o viaje. Un incidente en un equipo concreto puede afectar a varias capas de trabajo y de confianza.

Si una sesión queda expuesta, el problema no siempre se nota al momento. Puede aparecer como acceso indebido al correo, reenvíos no esperados, uso de archivos sincronizados, cambios en configuraciones, mensajes enviados desde una cuenta legítima o intentos de fraude que aprovechan la identidad de la persona afectada. A escala universitaria, eso genera confusión, interrupciones y más carga administrativa en muy poco tiempo.

El impacto tampoco es igual para todo el mundo. En alumnado puede afectar a materiales docentes, trabajos o trámites académicos. En PDI y personal investigador puede tocar documentación de proyectos, comunicaciones, revisiones y colaboraciones. En PAS puede interferir con calendarios, gestiones y circuitos internos. El punto común es que casi todo el trabajo universitario se apoya hoy en identidades digitales, sesiones activas y acceso a información compartida.

Por eso conviene entender ClickFix no solo como “otro malware”, sino como una puerta de entrada que intenta convertir una acción cotidiana en un permiso no deseado. La web no necesita tumbar defensas espectaculares si logra que la propia persona haga de puente entre el navegador y el sistema.

Cómo ayuda el STIC

Cuando aparece un caso así, la ayuda útil no empieza con reproches. Empieza con contención, comprobación y acompañamiento. Lo habitual es ayudar a valorar qué se ha hecho exactamente, aislar el equipo si hace falta, revisar accesos y orientar los siguientes pasos para recuperar control con la menor interrupción posible.

También es razonable esperar recomendaciones proporcionadas: cierre de sesiones, cambio de contraseña cuando proceda, revisión de métodos de acceso, comprobación del navegador, retirada de extensiones sospechosas y análisis del equipo si se ha llegado a ejecutar algo. No siempre todas las medidas hacen falta; depende de lo ocurrido. Lo importante es avisar pronto para no trabajar a ciegas.

En esta clase de incidentes, pedir ayuda temprana suele ahorrar tiempo. Si una persona espera por vergüenza o por pensar que “seguro que no fue nada”, puede seguir usando el mismo equipo y la misma sesión mientras el problema evoluciona. En cambio, una consulta rápida permite aclarar si hablamos de un susto, de una exposición limitada o de un incidente que requiere medidas más completas.

La tercera capa de apoyo es preventiva. Cuanta más gente conoce el patrón, menos recorrido tiene. Saber que una web nunca debería pedir comandos manuales es una defensa sorprendentemente eficaz porque corta la cadena antes del primer paso útil para el atacante. [Microsoft, 2025] [NCSC, 2026]

Lo que ha cambiado en 2025-2026

En 2025 y 2026 el tema ha dejado de ser una rareza para convertirse en una técnica con variaciones y mejor acabado. Microsoft describe campañas observadas a diario a escala global y señala que los atacantes han ido adaptando tanto los cebos visuales como la ofuscación de los comandos para esquivar controles y parecer menos evidentes. [Microsoft, 2025]

También se ha ampliado el repertorio de disfraces. No hablamos solo de un CAPTCHA falso. Se han visto imitaciones de páginas de videoconferencia, errores de navegador, incidencias de audio, actualizaciones aparentes, avisos en sitios comprometidos e incluso escenarios vinculados a repositorios y notificaciones de desarrollo. [HHS HC3, 2024] [Proofpoint, 2024]

Otro cambio relevante es que la técnica no se limita a “robar una clave”. Puede desembocar en infostealers, herramientas de acceso remoto, robo de sesión o cargas posteriores más serias. La amenaza real no está en la frase que ves en pantalla, sino en la cadena de acciones que esa frase intenta poner en marcha. [ESET, 2025] [Microsoft, 2025]

Además, algunas variantes aprovechan herramientas y comportamientos corrientes: el portapapeles, la confianza en un aviso visual conocido, la costumbre de resolver rápido una incidencia o la idea de que una acción manual ofrece más control. Es una buena lección para el contexto universitario: no todo lo peligroso llega como adjunto raro o como correo mal escrito. A veces entra por una página bastante convincente y un gesto mecánico.

Datos recientes en contexto

Hay pocos datos públicos verdaderamente comparables, así que conviene leer las cifras con prudencia. Aun así, varios indicadores ayudan a entender el cambio de escala. ESET sitúa el crecimiento de las detecciones de HTML/FakeCaptcha asociadas a ClickFix en un 517% entre el segundo semestre de 2024 y el primero de 2025, y las coloca en cerca del 8% de los ataques bloqueados en su telemetría; la propia compañía recuerda que son datos de proveedor y que la prevalencia real puede ser mayor o distinta según sector y metodología. [ESET, 2025]

En ese mismo informe, España aparece entre los países con más volumen de detecciones, cada uno por encima del 5% junto con Polonia y Eslovaquia, mientras Japón concentra el 23% y Perú el 6%. No significa que el riesgo sea uniforme ni que todos los entornos sufran el mismo impacto, pero sí muestra que no estamos ante un asunto lejano o exótico. [ESET, 2025]

El recorrido temporal también importa. ESET y HHS HC3 sitúan las primeras campañas observadas en marzo de 2024, y el organismo estadounidense recoge que TA571 envió más de 100.000 correos y apuntó a miles de organizaciones usando esta táctica. [ESET, 2025] [HHS HC3, 2024]

Proofpoint, por su parte, describió una campaña de septiembre de 2024 basada en falsas notificaciones de GitHub que afectó al menos a 300 organizaciones en su visibilidad. Ya en 2026, el NCSC suizo ha informado de un aumento de reportes relacionados con esta forma de infección, una señal útil de que la técnica no solo sigue activa, sino que se está normalizando en distintos escenarios. [Proofpoint, 2024] [NCSC, 2026]

Checklist en 30 segundos

  • Desconfía de cualquier web que te pida pegar comandos. Una página legítima no necesita que abras herramientas del sistema para verificarte o arreglar un fallo.
  • No pulses automáticamente las combinaciones de teclas que te dicta una pantalla. Los atajos pueden ser reales y, aun así, estar llevándote justo donde no conviene.
  • Si ves “copiar y pegar para continuar”, para unos segundos. Esa pausa corta la cadena antes de que el sistema ejecute nada.
  • Cierra la pestaña o la ventana si el mensaje insiste. No hace falta debatir con la página ni completar la prueba para salir de ella.
  • Vuelve al servicio por una vía conocida. Es mejor escribir la dirección habitual, usar un marcador fiable o entrar desde la aplicación oficial.
  • Evita buscar soluciones improvisadas dentro de la propia página sospechosa. Si de verdad hay una incidencia, el soporte legítimo no te pedirá ese tipo de acción manual.
  • No reutilices el mismo navegador como si nada si ya has pegado algo. Puede haber sesiones abiertas o datos temporales que conviene revisar cuanto antes.
  • Actualiza navegador y sistema desde sus canales normales. Las actualizaciones auténticas se gestionan desde ajustes o mecanismos propios del equipo, no desde un banner de una web cualquiera. [NCSC, 2026]
  • Revisa con especial cuidado equipos personales usados para trabajo o estudio. Son los más expuestos a mezclas de usos, extensiones, descargas y sesiones largas.
  • Ante la duda, consulta antes de repetir la acción. Un minuto de comprobación puede evitar horas de recuperación.

Qué hacer si ya ha pasado, sin tecnicismos

Si llegaste a pegar el comando o a pulsar Intro, lo primero es dejar de interactuar con esa página. No sigas probando “a ver si ahora funciona”. Si puedes, desconecta el equipo de la red y evita iniciar más sesiones o abrir nuevos servicios hasta recibir orientación. El objetivo es no dar más margen al incidente.

Después, avisa cuanto antes. Conviene anotar, aunque sea de forma sencilla, qué página era, qué mensaje mostraba y qué pasos llegaste a hacer. Esa información ayuda mucho a valorar el alcance real. Si usaste una cuenta institucional en ese equipo, es razonable prepararse para revisar contraseñas, sesiones y accesos en los servicios más sensibles.

Canal de ayuda/reporte: Crear una solicitud en Jira

Si el equipo es personal pero se usa para actividades de la Universidad, también merece atención. El hecho de que el dispositivo sea propio no convierte el incidente en irrelevante. Lo que importa es si desde ahí se accede a correo, docencia, investigación, gestión o documentación compartida.

Una recomendación adicional: no intentes “limpiarlo” por tu cuenta copiando otros comandos que encuentres en foros o vídeos. Eso puede empeorar la situación o borrar pistas útiles. En un incidente de este tipo, menos improvisación y más acompañamiento suele ser la mejor combinación.

Privacidad y trato respetuoso

Cuando una persona cae en un engaño así, lo último que ayuda es convertir el incidente en una historia ejemplarizante. ClickFix está diseñado para parecer razonable en un momento concreto de cansancio, multitarea o confianza. Tratar el caso con respeto favorece que se comunique antes, que se compartan detalles útiles y que otras personas aprendan sin miedo.

También conviene recordar que la respuesta debe ser proporcionada. No hace falta difundir detalles identificables ni exponer a la persona afectada. Lo importante es contener el incidente, revisar el posible impacto y extraer una lección práctica para la comunidad: una verificación web no debe desembocar en comandos del sistema.

En temas de ciberseguridad universitaria, la cultura importa tanto como la tecnología. Si normalizamos pedir ayuda pronto y hablar de estos casos con serenidad, reducimos el recorrido de los ataques y mejoramos la capacidad de reacción de toda la Universidad.

Cierre

ClickFix engancha porque se disfraza de solución. No pide grandes conocimientos, solo obediencia rápida. Precisamente por eso merece una respuesta igual de sencilla y fácil de recordar: si una web te empuja a copiar y pegar comandos para continuar, no sigas.

Detrás de ese gesto pueden estar el robo de sesiones, la descarga de malware o la exposición de cuentas y documentos que forman parte del trabajo diario universitario. No hace falta dramatizar para tomárselo en serio. Basta con reconocer que la mezcla de prisa, rutina y apariencia técnica puede jugar en contra.

La pauta útil es breve: parar, verificar y pedir ayuda. Parar antes de ejecutar nada. Verificar por un canal conocido. Pedir ayuda en cuanto exista la mínima duda o si la acción ya se ha producido. A veces la mejor defensa no es hacer más, sino negarse a hacer justo lo que la página está intentando que hagas.

Read next