En plena temporada de vacaciones de inicio de año, se lanza una alerta por el aumento de correos falsos, supuestamente de plataformas de alojamiento como Booking.com.
ESET lanzó una nueva advertencia sobre una nueva campaña de phishing que utiliza falsas pantallas de error de Windows para engañar a usuarios y lograr que instalen malware (software malicioso) de robo de información.
Los correos falsos contienen mensajes que alertan sobre supuestos problemas con reservas o reembolsos pendientes e incluyen enlaces maliciosos que conducen a una cadena de engaños, cuyo objetivo final es que la propia víctima instale un malware del tipo infostealer, diseñado para robar información sensible. La campaña fue analizada por el equipo de Securonix.
Puede leer: ¡Pilas! Conozca cómo son las estafas vendiendo boletas falsas para conciertos
La técnica utilizada, conocida como ClickFix, refleja la evolución de la ingeniería social como vector de ataque. En lugar de explotar vulnerabilidades técnicas directamente, los atacantes manipulan al usuario para que ejecute por sí mismo comandos maliciosos en su sistema.
Según el último ESET Threat Report durante el primer trimestre de 2025 esta técnica experimentó un crecimiento superior al 500% en detecciones, posicionándose como el segundo vector de ataque más frecuente después del phishing.
¿Por qué Booking?
El correo fraudulento utiliza la estética y el lenguaje de Booking.com, lo que lo hace difícil de distinguir de uno legítimo. Ante la urgencia de resolver un supuesto inconveniente con una reserva, el usuario hace clic en el enlace incluido en el mensaje, que lo redirige a un sitio web falso que imita a la plataforma original.
En el sitio que suplanta al real, el navegador muestra un mensaje falso indicando que la carga está demorando demasiado. Al presionar el botón de recarga, el navegador pasa a pantalla completa y muestra una falsa pantalla azul de Windows (BSOD), que simula un error crítico del sistema.
A diferencia de una BSOD real, esta pantalla incluye instrucciones para que el usuario ejecute comandos en PowerShell o en la ventana Ejecutar de Windows, con la excusa de solucionar el supuesto problema técnico. De este modo, la víctima termina infectando su propio equipo.
Puede leer: ‘123456’, ‘admin’ y ‘password’: esta es la lista de contraseñas más comunes y fáciles de hackear en Colombia en 2025
Al seguir las instrucciones, se desencadena una cadena de acciones maliciosas, entre ellas la descarga de un proyecto .NET que se compila mediante MSBuild.exe, la instalación de un troyano de acceso remoto (DCRAT), la desactivación de defensas como Windows Defender y la obtención de persistencia y elevación de privilegios en el sistema.
Este malware permite control remoto del equipo, registro de pulsaciones de teclado, ejecución de comandos y descarga de cargas adicionales, como mineros de criptomonedas, facilitando el robo de información y la propagación lateral.
“Los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos. Por eso, campañas como ClickFix muestran que la educación y la atención frente a mensajes urgentes siguen siendo una de las principales barreras de protección”, comenta Martina López, especialista en Seguridad Informática de ESET Latinoamérica.
Claves para prevenir este tipo de ataques
Lo primero es verificar siempre la autenticidad de los correos electrónicos, no ejecutar comandos desconocidos ni seguir instrucciones de supuestas pantallas de error.
También capacitar al personal, especialmente en sectores donde la urgencia es habitual, así como usar soluciones de seguridad confiables que detecten abuso de herramientas legítimas y bloqueen descargas no autorizadas.
Es vital, en este, y todos los casos, educar sobre ingeniería social, entender que muchas amenazas actuales dependen más de manipular al usuario que de vulnerar software directamente.
Regístrate al newsletter