Los ciberdelincuentes están encontrando nuevas formas de engañar a los usuarios para que pongan en peligro sus propios dispositivos y cuentas. Una campaña utilizó un anuncio patrocinado en X dirigirse a Mac , mientras que otra técnica, denominada «ConsentFix», roba cuentas de Microsoft 365 sin instalar malware.
X verificada X utilizada en el ataque a Mac
Unos investigadores han descubierto un ataque similar al de ClickFix que se difundía como un anuncio patrocinado en X. El anuncio se publicó desde una cuenta verificada, lo que le confería un mayor grado de credibilidad a la estafa.
Las campañas de ClickFix utilizan señuelos convincentes: antes eran pantallas falsas de «verificación humana» y ahora una descarga falsa de DynamicLake, una utilidad legítima para macOS que convierte la muesca de tu MacBook en una versión no oficial, pero funcional, de la Dynamic Island de Apple. Este tipo de ataque requiere que el usuario pegue un comando desde el portapapeles, por lo que depende en gran medida de la interacción del usuario.

Imagen cortesía de Jamf
En realidad, las personas que hacían clic en el enlace eran redirigidas al dominio similar dynamicmacisland[.]com, donde se les indicó que abrieran el Terminal y pegaran unos comandos de instalación que instalaban malware de forma silenciosa.
La campaña combina tres tendencias preocupantes: ingeniería social al estilo «ClickFix» mediante comandos de Terminal, dominios falsos que imitan Mac de confianza Mac y una infraestructura de publicidad de pago utilizada para ampliar el alcance de los ataques a un público numeroso.
Según se informa, el malware distribuye varias variantes del programa de robo de información «Atomic Stealer ».
Este patrón se asemeja a casos anteriores en los que Google Ads promocionaba instaladores de software falsos, incluidos anuncios patrocinados maliciosos que distribuían malware cuando los usuarios buscaban herramientas de desarrollo de confianza. La lección es clara: la posición pagada y los distintivos de verificación no son garantía de seguridad, especialmente cuando los atacantes diseñan deliberadamente campañas para eludir los filtros automáticos.
La campaña hizo un uso indebido de la plataforma publicitaria X, y el anuncio malicioso apareció en una cuenta verificada. Los investigadores denunciaron el anuncio a X se pusieron en contacto con el titular de la cuenta. Al parecer, el anuncio ya ha sido eliminado.
ConsentFix roba cuentas en lugar de instalar malware
También se está advirtiendo a Windows sobre la próxima generación de ataques ClickFix, denominada ConsentFix.
ConsentFix es diferente porque, mientras que ClickFix te convierte en el instalador, ConsentFix te convierte en el proveedor de identidad. En lugar de engañarte para que ejecutes malware, utiliza ingeniería social para conseguir que facilites tus tokens de inicio de sesión en la nube a través del navegador, sin pedirte en ningún momento que ejecutes malware ni que introduzcas tu contraseña.
«Todo puede empezar con algo tan sencillo como arrastrar un enlace al navegador. Tres segundos después, un ciberdelincuente ya dispone de los tokens necesarios para hacerse con el control de tu cuenta de Microsoft 365, y tú no has hecho nada que la formación tradicional en concienciación sobre seguridad hubiera señalado como sospechoso».
Por ejemplo, puede llegar un correo electrónico de phishing que contenga un enlace, a menudo alojado en plataformas de confianza como Dropbox. A veces está protegido con una contraseña, lo que también dificulta su análisis por parte de las herramientas de seguridad.
Si el destinatario hace clic en el enlace, verá lo que parece una página de inicio de sesión estándar de Microsoft y se le pedirá que complete el proceso arrastrando un enlace de devolución de llamada de localhost al navegador.

Es entonces cuando se cierra la trampa. Sin darse cuenta, la víctima entrega los tokens de sesión al atacante, lo que le permite acceder al correo electrónico y a otros servicios de Microsoft 365 sin necesidad de introducir una contraseña ni completar la autenticación multifactorial (MFA).
Según se ha informado, el método se ha difundido en un foro ruso dedicado a la ciberdelincuencia, lo que facilita a los ciberdelincuentes con menos experiencia el robo de cuentas de Microsoft 365.
Cómo mantenerse seguro
La mejor protección es saber que estos ataques existen y saber cómo se manifiestan. Así que sigue leyendo nuestro blog. Pero hay más cosas que puedes hacer:
- No te fíes de los enlaces que recibas de forma inesperada, ya sea por correo electrónico, mensaje de texto, redes sociales o incluso a través de cuentas verificadas o resultados de búsqueda patrocinados.
- Piénsalo bien antes de seguir instrucciones que te parezcan extrañas o que no entiendas del todo.
- Cuando introduzcas tus datos de acceso, comprueba siempre la dirección que aparece en la barra del navegador. ¿Es la que esperabas? Si no es así, detente.
- Utiliza una solución antimalware actualizada y en tiempo real que incluya protección web.
Consejo de experto: ¿Sabías que la herramienta gratuita Malwarebytes Browser Guard te protege contra sitios web maliciosos y ataques de ClickFix? Además, bloquea anuncios y rastreadores, lo cual es una ventaja añadida.
Detén las amenazas antes de que puedan causar ningún daño.
Malwarebytes Browser Guard automáticamente las páginas de phishing y los sitios maliciosos. Es gratis y se instala con un solo clic. Añádelo a tu navegador →




