En plena temporada de vacaciones de inicio de año, autoridades en ciberseguridad alertan por el aumento de correos electrónicos falsos que suplantan a plataformas de alojamiento como Booking.com.
Menor de 17 años muere en combates con el Ejército Nacional
EFELos mensajes buscan engañar a los usuarios para que instalen malware de robo de información mediante una técnica de ingeniería social en rápido crecimiento.
Correos fraudulentos simulan problemas con reservas y reembolsos
De acuerdo con una advertencia reciente de ESET, los correos maliciosos informan sobre supuestos inconvenientes con reservas o reembolsos pendientes. Utilizan la estética y el lenguaje de Booking.com, lo que dificulta distinguirlos de mensajes legítimos y aumenta la probabilidad de que el usuario haga clic en los enlaces incluidos.
La técnica ClickFix: cuando la víctima ejecuta el ataque
La campaña, analizada por el equipo de Securonix, emplea una técnica conocida como ClickFix, que no explota fallas técnicas directamente, sino que manipula al usuario para que ejecute por sí mismo comandos maliciosos. Según el último ESET Threat Report, durante el primer trimestre de 2025 esta técnica creció más del 500 % en detecciones, convirtiéndose en el segundo vector de ataque más frecuente después del phishing.
Falsas pantallas de error de Windows para engañar al usuario
Al hacer clic en el enlace, la víctima es redirigida a un sitio web falso que imita a Booking.com. Allí aparece un mensaje que simula una carga lenta y, tras intentar recargar la página, el navegador pasa a pantalla completa mostrando una falsa “pantalla azul de la muerte” (BSOD) de Windows.
A diferencia de una BSOD real, esta incluye instrucciones para ejecutar comandos en PowerShell o en la ventana “Ejecutar”, bajo el pretexto de solucionar un problema técnico inexistente.
Qué ocurre tras ejecutar los comandos
Al seguir las instrucciones, se activa una cadena de acciones maliciosas que incluye la descarga de un proyecto .NET compilado con MSBuild.exe, la instalación de un troyano de acceso remoto (DCRAT), la desactivación de defensas como Windows Defender y la obtención de persistencia y elevación de privilegios en el sistema.
Este malware permite el control remoto del equipo, el registro de pulsaciones de teclado, la ejecución de comandos y la descarga de otras cargas maliciosas, facilitando el robo de información sensible.
Recomendaciones para prevenir este tipo de ataques
Especialistas recomiendan verificar siempre la autenticidad de los correos electrónicos, desconfiar de mensajes urgentes y no ejecutar comandos sugeridos por supuestas pantallas de error. También es clave capacitar a los usuarios y contar con soluciones de seguridad que detecten el abuso de herramientas legítimas y bloqueen descargas no autorizadas.
“Los cibercriminales ya no necesitan vulnerar el sistema directamente: les alcanza con convencer al usuario de que lo haga por ellos”, advirtió Martina López, especialista en Seguridad Informática de ESET Latinoamérica.