Aumento del 500% en mensajes de error falsos de ClickFix, convirtiéndose en el segundo vector de ataque más utilizado.

En los últimos seis meses, el uso del vector de ataque ClickFix ha aumentado de manera notable, registrando un incremento del 517%. Este tipo de ataque se ha convertido en el segundo más utilizado, solo por detrás del phishing. La técnica consiste en engañar a los usuarios a través de un reCAPTCHA falso, lo que les lleva a ejecutar comandos en la terminal de Powershell bajo la premisa de corregir un error ficticio. Como resultado, se descarga y ejecuta malware en el dispositivo de la víctima, lo que permite a los hackers robar información sensible.

El informe de amenazas de ESET correspondiente a la segunda mitad de 2025 detalla cómo los hackers están aprovechando ClickFix para distribuir algunos de los infostealers más conocidos, como Lumma Stealer, VidarStealer, StealC y Danabot. Este vector de ataque resulta altamente efectivo ya que utiliza instrucciones muy simples para manipular a los usuarios y llevarlos a ejecutar comandos complejos en Powershell. Dado que muchos no comprenden lo que están haciendo y se concentran en buscar una solución, caen en la trampa.

Generalmente, ClickFix se distribuye a través de correos electrónicos de phishing que redirigen a sitios falsos donde se requiere verificar el reCAPTCHA para acceder. Los comandos de Powershell suelen eludir el software antivirus, lo que lo convierte en un método particularmente eficaz para comprometer dispositivos, especialmente si el hacker logra que el usuario lo ejecute.

En otras noticias sobre infostealers, el mismo informe indica que SnakeStealer ha superado a Agent Tesla como el infostealer más detectado. Se ha observado que SnakeStealer fue utilizado en una extensa campaña que afectó a cientos de empresas en EE. UU. y la UE para robar credenciales.

En el ámbito del ransomware, los grupos han atravesado un periodo tumultuoso debido a luchas internas y rivalidades, como lo demuestra la actividad del grupo DragonForce, que ha llevado a cabo campañas de desfiguración contra conocidos grupos de ransomware como BlackLock, Mamona y RansomHub. A pesar de las importantes operaciones de las autoridades contra estos grupos en los últimos meses, parece que las rivalidades han tenido un impacto más significativo en el ecosistema del ransomware.

Además, la reciente oleada de infecciones de Kaleidoscope ha provocado un aumento del 160% en las detecciones de adware en Android. Se ha visto que el malware también se distribuye a través de tiendas de aplicaciones oficiales, como es el caso de SparkKitty, que se ha encontrado tanto en la App Store de Apple como en Google Play Store. Sin embargo, Kaleidoscope ha utilizado un método de ataque dual, generando ingresos publicitarios al mostrar anuncios intrusivos en el dispositivo objetivo, mientras que simultáneamente infecta el dispositivo con una aplicación maliciosa descargada de una tienda de aplicaciones de terceros.

La evolución de las técnicas de ingeniería social, las sofisticadas amenazas móviles y las interrupciones significativas en el ámbito de los infostealers indican que el panorama de amenazas en la primera mitad de 2025 ha sido nada menos que dinámico.