Detectan campaña de phishing que suplanta a Booking.com y distribuye malware con la técnica ClickFix

Una reciente campaña de correos electrónicos falsos que simulan provenir de Booking.com fue identificada por investigadores de seguridad en Buenos Aires, Argentina. Los mensajes advierten sobre supuestos inconvenientes con reservas o reembolsos pendientes e incluyen enlaces maliciosos que conducen a una serie de engaños, cuyo objetivo es que la víctima instale un malware del tipo infostealer, diseñado para robar información sensible. El análisis de la campaña fue realizado por el equipo de Securonix.

La técnica utilizada, denominada ClickFix, representa una evolución en la ingeniería social como vector de ataque. En vez de explotar vulnerabilidades técnicas, los atacantes manipulan al usuario para que ejecute comandos maliciosos en su propio sistema. Según el último ESET Threat Report, durante el primer trimestre de 2025 esta técnica registró un crecimiento superior al 500 % en detecciones, ubicándose como el segundo vector de ataque más frecuente después del phishing.

El correo fraudulento replica la estética y el lenguaje de Booking.com, dificultando su identificación. Al hacer clic en el enlace, el usuario es dirigido a un sitio web falso que imita la plataforma original. Allí, el navegador muestra un mensaje indicando que la carga demora demasiado; al presionar el botón de recarga, la pantalla pasa a modo completo y aparece una falsa pantalla azul de Windows (BSOD), simulando un error crítico.

A diferencia de una BSOD real, esta pantalla incluye instrucciones para que el usuario ejecute comandos en PowerShell o en la ventana Ejecutar de Windows, bajo el pretexto de solucionar el supuesto problema técnico. De este modo, la víctima termina infectando su propio equipo. El proceso desencadena la descarga de un proyecto .NET compilado mediante MSBuild.exe, la instalación de un troyano de acceso remoto (DCRAT), la desactivación de defensas como Windows Defender y la obtención de persistencia y elevación de privilegios en el sistema.

Este malware permite el control remoto del equipo, el registro de pulsaciones de teclado, la ejecución de comandos y la descarga de cargas adicionales, como mineros de criptomonedas, facilitando el robo de información y la propagación lateral.

“Los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos. Por eso, campañas como ClickFix muestran que la educación y la atención frente a mensajes urgentes siguen siendo una de las principales barreras de protección.”, señaló Martina López, especialista en Seguridad Informática de ESET Latinoamérica.

Entre las recomendaciones para prevenir este tipo de ataques se destacan: verificar siempre la autenticidad de los correos electrónicos, no ejecutar comandos desconocidos ni seguir instrucciones de supuestas pantallas de error, capacitar al personal, utilizar soluciones de seguridad confiables y educar sobre ingeniería social.

La entrada Detectan campaña de phishing que suplanta a Booking.com y distribuye malware con la técnica ClickFix se publicó primero en Revista Mercado.