Expertos advierten sobre una campaña de correos falsos de Booking.com que usa la técnica ClickFix para que los propios usuarios instalen malware en sus PC hoy.
La seguridad digital se enfrenta a un nuevo y sofisticado desafío que utiliza la confianza en marcas reconocidas para vulnerar sistemas personales y corporativos. Recientemente, investigadores de seguridad han detectado una campaña de correos electrónicos falsos que suplanta la identidad de la plataforma de reservas Booking.com. Esta maniobra no busca explotar una falla técnica en el software, sino que se apoya en la ingeniería social para engañar a los usuarios y lograr que ellos mismos ejecuten comandos maliciosos en sus equipos.
El auge de la técnica ClickFix
La estrategia central de este ataque es la denominada técnica ClickFix, la cual representa una evolución crítica en los métodos de infección. En lugar de adjuntar un archivo infectado que podría ser detectado por filtros de seguridad, los atacantes manipulan la percepción del usuario para que este realice acciones que comprometan su propio sistema. Esta modalidad ha demostrado ser extremadamente efectiva; según datos del último ESET Threat Report, durante el primer trimestre de 2025, las detecciones de esta técnica experimentaron un crecimiento explosivo superior al 500 %, consolidándose como el segundo vector de ataque más frecuente, superado únicamente por el phishing tradicional.
El engaño comienza con un correo electrónico que imita a la perfección la estética y el lenguaje de Booking.com. Estos mensajes suelen alertar sobre supuestos problemas con una reserva o reembolsos pendientes, generando un sentido de urgencia que empuja a la víctima a actuar con rapidez y sin sospechas. Al hacer clic en el enlace proporcionado, el usuario es redirigido a un sitio web apócrifo que simula ser la plataforma oficial.
La trampa de la «pantalla azul»
Una vez en el sitio falso, el navegador muestra un mensaje indicando que la carga de la página está demorando más de lo habitual. Al intentar recargar el contenido, el sistema activa una transición a pantalla completa que muestra una falsa pantalla azul de Windows, conocida técnicamente como BSOD (Blue Screen of Death). A diferencia de un error real del sistema operativo, esta pantalla fraudulenta incluye instrucciones precisas para que el usuario «solucione» el inconveniente técnico.
Las instrucciones instan a la persona a abrir la ventana «Ejecutar» o utilizar PowerShell para pegar y ejecutar una serie de comandos. Al seguir estos pasos, la víctima desencadena involuntariamente una cadena de acciones altamente destructivas. El proceso inicia con la descarga de un proyecto .NET que se compila mediante la herramienta Msbuild.exe, lo que permite la instalación de un troyano de acceso remoto conocido como Dcrate.
Este malware está diseñado para tomar el control total del equipo, desactivar las defensas de Windows Defender, obtener persistencia y elevar privilegios en el sistema. Además, permite el registro de pulsaciones de teclado (keylogging), la ejecución de comandos remotos y la descarga de cargas adicionales, como mineros de criptomonedas, facilitando el robo de información sensible y la propagación de la amenaza dentro de una red.
La importancia de la educación digital
El éxito de estas campañas radica en que los cibercriminales han desplazado su objetivo de las máquinas hacia las personas. Martina López, especialista en Seguridad Informática de ESET Latinoamérica, explica sobre esta tendencia: “Los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos. Por eso, campañas como ClickFix muestran que la educación y la atención frente a mensajes urgentes siguen siendo una de las principales barreras de protección”.
Para evitar caer en estas trampas, los expertos recomiendan verificar siempre la autenticidad de cualquier correo electrónico antes de interactuar con él. Es fundamental no ejecutar nunca comandos desconocidos ni seguir instrucciones de pantallas de error que aparezcan en navegadores web. Asimismo, se aconseja a las empresas capacitar a su personal en la identificación de técnicas de ingeniería social y utilizar soluciones de seguridad robustas que puedan detectar el abuso de herramientas legítimas del sistema y bloquear descargas no autorizadas.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
