Errores, Noticias

Más de 700 sitios web dedicados a la educación y la tecnología han sido secuestrados en una gran campaña de malware denominada «ClickFix»

por Pieter Arntz | 26 de mayo de 2026
ClickFix imita a Windows

Los atacantes están aprovechando una vulnerabilidad crítica del sistema de gestión de contenidos (CMS) Ghost para secuestrar más de 700 sitios web legítimos e insertar un paso de verificación falso de Cloudflare que engaña a los visitantes para que ejecuten un Windows que instala malware.

Estas campañas de ingeniería social —en las que se engaña a los visitantes de sitios web para que ejecuten comandos maliciosos en sus sistemas— se conocen comúnmente como ataques «ClickFix». En este caso, los ciberdelincuentes convirtieron sitios web pertenecientes a organizaciones de confianza, entre ellas universidades y empresas tecnológicas, en plataformas de distribución para la campaña de malware.

Más de 700 sitios web basados en Ghost se vieron comprometidos a través de una vulnerabilidad conocida de inyección SQL, identificada con el número CVE-2026-26980. Los atacantes aprovecharon este fallo para robar claves API administrativas e inyectar de forma silenciosa código JavaScript malicioso en las entradas y páginas de los sitios afectados.

Los investigadores descubrieron que el script inyectado carga un flujo ClickFix de segunda fase, que muestra a los visitantes un cuadro de diálogo falso de verificación de Cloudflare o CAPTCHA.

Ejemplo de verificación falsa de Cloudflare
Ejemplo de verificación falsa de Cloudflare

En lugar de una casilla de selección normal, la página indica a los usuarios que copien y peguen un comando en el cuadro de diálogo Windows o en PowerShell, lo que, en la práctica, los induce a instalar malware en sus propios sistemas.

Información para los administradores del sitio web

El núcleo de esta campaña es un grave fallo de inyección SQL en la API de contenido de Ghost. Los investigadores señalaron:

«Sin necesidad de autenticación, un atacante puede leer directamente el contenido de la base de datos a través de esta vulnerabilidad, incluida la clave de la API de administración utilizada para llamar a la API de administración de Ghost».

La vulnerabilidad afecta a las versiones de Ghost comprendidas entre la 3.24.0 y la 6.19.0 y puede explotarse sin necesidad de iniciar sesión.

Ya hay disponible una versión parcheada, que se recomienda instalar lo antes posible. No solo por la campaña ClickFix; una vez que los atacantes roban una clave de la API de administrador, pueden editar, eliminar o crear entradas, inyectar scripts, secuestrar temas y manipular el contenido visible para los usuarios de otras formas.

Cómo mantenerse seguro

Es probable que esta campaña resulte especialmente eficaz, ya que las instrucciones se presentan como pasos técnicos inofensivos, como «verifica que eres humano», «corrige tu conexión» o «continúa hacia el sitio». Y lo que es peor, el contenido aparece en sitios web en los que los usuarios ya confían.

Con ClickFix campando a sus anchas, y sin que parezca que vaya a desaparecer pronto, es importante estar alerta, ser prudente y protegerse.

  • Tómate tu tiempo. Nosigas las instrucciones de una página web sin pensarlo bien, sobre todo si la página te pide que ejecutes comandos en tu dispositivo o que copies y pegues código. Los atacantes se aprovechan de la urgencia para eludir el pensamiento crítico, y muchas páginas de ClickFix utilizan cuentas atrás, contadores de usuarios falsos u otras tácticas de presión para que actúes con rapidez.
  • Evita ejecutar comandos o scripts procedentes de fuentes no fiables. Nuncaejecutes código o comandos copiados de sitios web, correos electrónicos o mensajes, a menos que confíes en la fuente y comprendas el propósito de la acción. Si un sitio web te indica que ejecutes un comando o realices una acción técnica, consulta la documentación oficial o ponte en contacto con el servicio de asistencia antes de continuar.
  • Ten cuidado al copiar y pegar comandos. Los atacantes suelen ocultar cargas maliciosas en el texto del portapapeles. Escribir los comandos a mano, en lugar de copiarlos y pegarlos, puede reducir el riesgo de ejecutar sin saberlo cargas maliciosas ocultas.
  • Proteja sus dispositivos. Utiliceunasolución antimalwareactualizada y en tiempo real con un componente de protección web.
  • Mantente al día sobre la evolución de las técnicas de ataque.Los ciberdelincuentes adaptan constantemente sus métodos, y estar al tanto de ello sigue siendo una de tus mejores defensas, ¡así que no dejes de leer nuestro blog!

Consejo de experto:¿Sabías que el programa gratuito Malwarebytes Browser Guard te avisa cuando un sitio web intenta copiar algo a tu portapapeles?

Detén las amenazas antes de que puedan causar ningún daño.

Malwarebytes Browser Guard automáticamente las páginas de phishing y los sitios maliciosos. Es gratis y se instala con un solo clic. Añádelo a tu navegador →

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
semana de la seguridad

Una semana en el ámbito de la seguridad (del 18 al 24 de mayo)

Mayo 25, 2026

Lista de temas que tratamos durante la semana del 18 al 24 de mayo de 2026

Bichos
Logotipo Chrome

Actualiza Chrome : unos fallos críticos podrían permitir a los atacantes ejecutar código

Mayo 22, 2026

Esta Chrome corrige fallos críticos que los atacantes podrían aprovechar a través de sitios web maliciosos, pero no la vulnerabilidad «Browser Fetch».

Bichos
Logotipo de Defender

Se están aprovechando vulnerabilidades de Microsoft Defender en el mundo real

Mayo 21, 2026

La CISA ha añadido siete vulnerabilidades de las que se sabe que están siendo explotadas a su catálogo KEV, entre ellas dos fallos de Microsoft Defender.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas