El panorama del ransomware sigue evolucionando a un ritmo que mantiene en vilo a los equipos de ciberseguridad. El grupo detrás de LeakNet ha dado un giro táctico significativo al adoptar la técnica de ingeniería social conocida como ClickFix, distribuida a través de sitios web comprometidos. Esta jugada representa un cambio notable en la estrategia de acceso inicial del grupo, que hasta ahora dependía principalmente del robo de credenciales.

**¿Qué es ClickFix y por qué funciona?**

ClickFix explota un vector de ataque particularmente efectivo: la confianza del usuario en las instrucciones técnicas. La técnica funciona mostrando mensajes de error falsos en sitios web comprometidos, que indican al visitante que debe ejecutar comandos específicos en su sistema para resolver un problema inexistente. El usuario, creyendo que está solucionando una avería, copia y ejecuta voluntariamente código malicioso en su propia máquina.

Lo inquietante de esta aproximación es su elegancia perversa. No explota una vulnerabilidad técnica en el sentido clásico; explota la psicología humana. El usuario se convierte, sin saberlo, en su propio atacante. Y al tratarse de una acción manual, muchas soluciones de seguridad tradicionales basadas en detección automatizada de exploits pasan por alto la actividad, ya que no hay un ataque automatizado que interceptar.

**La carga útil: Deno en memoria**

Una vez que la víctima ejecuta el comando, LeakNet despliega un cargador en memoria basado en Deno, el runtime de JavaScript y TypeScript. La elección no es casual. Deno, aunque menos extendido que Node.js, ofrece ciertas características que lo convierten en una herramienta atractiva para actores maliciosos: su modelo de permisos granular puede ser eludido en contextos específicos, y su relativa novedad significa que muchas herramientas de detección no tienen firmas ni comportamientos bien catalogados para analizar cargas basadas en este runtime.

El cargador opera completamente en memoria, lo que dificulta forense post-incidente y reduce la huella en disco que podrían detectar soluciones EDR convencionales. Es un enfoque que combina ingeniería social de bajo perfil con técnicas de evasión técnicas sofisticadas.

**Un cambio de paradigma en el acceso inicial**

Este movimiento de LeakNet encaja en una tendencia más amplia que los analistas llevan meses observando: el abandono progresivo de los vectores de acceso tradicionales en favor de técnicas que explotan directamente al usuario final. El phishing clásico, las credenciales robadas de filtraciones masivas o la explotación de vulnerabilidades en VPNs corporativas siguen siendo viables, pero cada vez generan más alertas en los sistemas de defensa.

ClickFix representa una vuelta a lo básico, pero con un barniz tecnológico moderno. No necesitas comprometer un gateway corporativo si puedes convencer a un empleado de que ejecute un comando en su terminal. El ataque se vuelve más barato, más escalable y, paradójicamente, más difícil de detectar porque la acción maliciosa proviene de una cuenta legítima ejecutando código de forma aparentemente voluntaria.

**¿Qué pueden hacer las organizaciones?**

La defensa contra este tipo de ataques requiere un cambio de mentalidad tanto técnico como cultural. En primer lugar, la formación de usuarios debe evolucionar más allá del clásico "no haga clic en enlaces sospechosos". Los empleados necesitan entender que ningún sitio web legítimo les pedirá que ejecuten comandos manuales en su terminal para resolver errores.

En segundo lugar, los equipos de seguridad deben implementar políticas que restrinjan la ejecución de comandos arbitrarios, especialmente desde contextos de navegador o portapapeles. Herramientas como políticas de ejecución de scripts más estrictas, segmentación de privilegios y monitorización de procesos hijo desde aplicaciones de usuario pueden crear capas adicionales de protección.

La evolución de LeakNet hacia ClickFix no es un caso aislado. Es un síntoma de un ecosistema de ransomware que aprende, se adapta y busca constantemente los puntos ciegos de nuestras defensas. La pregunta ya no es si este tipo de ataques se extenderá, sino cuán rápido deberemos adaptarnos para contrarrestarlo.