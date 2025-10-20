Hoy está siendo un día muy intenso en lo que se refiere a noticias de ciberseguridad, ya que después de contarte, recientemente,que una jueza de EE.UU. prohíbe a NSO Group, la empresa responsble de Pegasus, espiar a los usuarios de WhatsApp, ahora acabamos de saber que los ciberdelincuentes están volviendo a usar ClickFix, un conocido malware que se disfraza de Netflix y Spotify en TikTok para quedarse con tus datos.

ClickFix entra de nuevo en escena usando vídeos de TikTok para infectar a los usuarios

Como podemos leer en el medio Bleeping Computer, Xavier Mertens, responsable de ISC, un programa del SANS Institute encargado de rastrear la actividad maliciosa en Internet, ha publicado un informe hace apenas unos días en el que asegura que los ciberdelincuentes están utilizando vídeos de TikTok disfrazados de tutoriales de activación de programas tan populares como Windows, Spotify y Netflix para propagar un malware bastante popular llamado ClickFix que tiene como objetivo robarte los datos personales.

Los expertos de Bleeping Computer confirman que han encontrado vídeos de TikTok infectados con ClickFix que muestran instrucciones sobre cómo activar productos legítimos como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro y Discord Nitro, así como servicios de streaming como Netflix y Spotify Premium.

Básicamente, _ClickFix es una técnica de ingeniería social que ofrece lo que parecen ser "soluciones" o instrucciones legítimas con el objetivo de engañar a los usuarios para que ejecuten comandos maliciosos de PowerShell u otros scripts que infectan sus ordenadores con malware.

Así, cada uno de estos vídeos de TikTok muestra un comando corto de una línea que está personalizado con el nombre del programa que pretende suplantar y les indica a los usaurios que lo ejecuten como administrador en PowerShell, la terminal de Windows.

Una vez que el usuario ejecuta dicho comando, PowerShell se conecta al sitio remoto slmgr[.]winpara recuperar y ejecutar otro script de PowerShell.

Dicho script descarga dos ejecutables de las páginas de Cloudflare, siendo el primero de ellos una variante del malware Aura Stealer, una herramienta que recopila las credenciales guardadas en los navegadores, las cookies de autenticación, las carteras de criptomonedas y las credenciales de otras aplicaciones, y las envía a los atacantes, dandoles así acceso a tus cuentas.

Por su parte, el segundo ejectutable se utiliza para autocompilar código utilizando el compilador Visual C# integrado en .NET (csc.exe) y este código malicioso se inyecta y se ejecuta en la memoria.

En el caso de que hayas ejecutado este código malicioso en PowerShell lo que debes hacer es reestablecer inmediatamente todas las contraseñas de las plataformas que alojan tus datos privados.

Finalmente, para que no pase nada de esto, te recomendamos que NUNCA copies texto de un sitio web y lo ejecutes en un cuadro de diálogo de ningún sistema operativo, incluyendo la barra de direcciones del Explorador de archivos, el símbolo del sistema y los comandos de PowerShell de Windows y las terminales de macOS y de Linux.