Noticias

ClickFix añadió comandos nslookup a su arsenal para descargar RAT.

por Pieter Arntz | 16 de febrero de 2026
ClickFix imita a Windows

Las campañas de malware ClickFix consisten en engañar a la víctima para que infecte su propio equipo.

Al parecer, los delincuentes responsables de estas campañas se han dado cuenta de que los comandos mshta y Powershell están siendo bloqueados cada vez más por el software de seguridad, por lo que han desarrollado un nuevo método utilizando nslookup.

Las etapas iniciales son prácticamente las mismas que hemos visto antes: instrucciones CAPTCHA falsas para demostrar que no eres un bot, resolver problemas informáticos inexistentes o actualizaciones, provocar fallos en el navegador e incluso vídeos instructivos.

La idea es conseguir que las víctimas ejecuten comandos maliciosos para infectar su propio equipo. El comando malicioso suele copiarse en el portapapeles de la víctima con instrucciones para copiarlo en el cuadro de diálogo Windows o en el Mac .

Nslookup es una herramienta integrada para utilizar la «agenda telefónica» de Internet, y los delincuentes básicamente están abusando de esa agenda para introducir instrucciones y malware en lugar de solo obtener una dirección.

Su función es resolver problemas de red, comprobar si el DNS está configurado correctamente e investigar dominios extraños, no descargar ni ejecutar programas. Pero los delincuentes configuraron un servidor para que respondiera con datos elaborados de tal manera que parte de la «respuesta» fuera en realidad otro comando o un puntero a malware, y no solo una dirección IP normal.

Microsoft proporcionó estos ejemplos de comandos maliciosos:

Ejemplos del comando nslookup

Estos comandos inician una cadena de infección que descarga un archivo ZIP desde un servidor externo. De ese archivo, extrae un script malicioso en Python que ejecuta rutinas para realizar reconocimientos, ejecutar comandos de detección y, finalmente, soltar un Basic en Visual Basic que suelta y ejecuta ModeloRAT.

ModeloRAT es un troyano de acceso remoto (RAT) basado en Python que proporciona a los atacantes control directo sobre un Windows infectado.

En resumen, los ciberdelincuentes han encontrado otra forma de utilizar una herramienta técnica de confianza y hacer que, de forma secreta, lleve a cabo el siguiente paso del ataque, todo ello desencadenado por la víctima al seguir lo que parecen ser unas inocentes instrucciones de copia y pegado. En ese momento, podrían ceder el control de su sistema.

Cómo mantenerse seguro

Con ClickFix campando a sus anchas, y sin que parezca que vaya a desaparecer pronto, es importante estar alerta, ser prudente y protegerse.

  • Tómate tu tiempo. Note apresures a seguir las instrucciones de una página web o un mensaje, especialmente si te piden que ejecutes comandos en tu dispositivo o que copies y pegues código. Los atacantes se aprovechan de la urgencia para eludir tu pensamiento crítico, así que ten cuidado con las páginas que te instan a actuar de inmediato. Las páginas sofisticadas de ClickFix añaden cuentas atrás, contadores de usuarios u otras tácticas de presión para que actúes rápidamente.
  • Evite ejecutar comandos o scripts de fuentes que no sean de confianza. Nuncaejecute código o comandos copiados de sitios web, correos electrónicos o mensajes a menos que confíe en la fuente y comprenda el propósito de la acción. Verifique las instrucciones de forma independiente. Si un sitio web le indica que ejecute un comando o realice una acción técnica, consulte la documentación oficial o póngase en contacto con el servicio de asistencia antes de continuar.
  • Limite el uso de copiar y pegar para los comandos.Escribir los comandos manualmenteen lugar de copiarlos y pegarlos puede reducir el riesgo de ejecutar sin saberlo cargas maliciosas ocultas en el texto copiado.
  • Proteja sus dispositivos. Utiliceunasolución antimalwareactualizada y en tiempo real con un componente de protección web.
  • Infórmese sobre las técnicas de ataque en constante evolución.Comprender que los ataques pueden provenir de vectores inesperados y evolucionar ayuda a mantener la vigilancia. ¡Siga leyendo nuestro blog!

Consejo profesional:¿Sabías que el programa gratuito Malwarebytes Browser Guard te avisa cuando un sitio web intenta copiar algo en tu portapapeles?

No solo informamos sobre amenazas, sino que ayudamos a proteger toda tu identidad digital.

Los riesgos de ciberseguridad nunca deben ir más allá de los titulares. Proteja su información personal y la de su familia utilizando la protección de identidad.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

AI
Una mano se inclina para coger un asterisco de una contraseña escrita.

Las contraseñas generadas por IA suponen un riesgo para la seguridad.

Febrero 19, 2026

Las contraseñas generadas por IA son «muy predecibles» y no son verdaderamente aleatorias, lo que facilita su descifrado por parte de los ciberdelincuentes.

Noticias
Logotipo de Tenga

El fabricante de productos íntimos Tenga filtró datos de clientes.

Febrero 19, 2026

Un ataque de phishing contra un empleado de Tenga podría haber expuesto los datos de clientes estadounidenses. Los clientes deben estar atentos a los intentos de phishing relacionados con la sextorsión.

Filtraciones de datos
Logotipo de Betterment

La filtración de datos de Betterment podría ser peor de lo que pensábamos.

Febrero 18, 2026

Esta filtración parece ahora mucho más grave. Los datos filtrados incluyen información personal y financiera detallada que los phishers podrían utilizar.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas