🏨 ClickFix: el nuevo truco de phishing que está hackeando hoteles con un solo clic

¿Te imaginas recibir un correo de Booking.com pidiéndote verificar una reserva… y que, al hacerlo, sin darte cuenta ejecutes un comando que entrega el control de tu equipo a un atacante?
Eso es exactamente lo que está pasando.
A principios de 2025, una campaña masiva de phishing comenzó a golpear a hoteles y agencias de viajes en Norteamérica, Europa y Asia, utilizando una técnica de ingeniería social tan simple como efectiva: ClickFix.

🎣 ¿Qué es ClickFix y por qué está funcionando?

ClickFix no aprovecha una falla técnica, sino una falla humana.
Los atacantes envían correos falsos de Booking.com o Expedia con supuestas verificaciones de seguridad o CAPTCHA falsos.
El truco: al hacer clic, el usuario abre una ventana de comandos (sí, la terminal o consola del sistema) y, sin saberlo, pega y ejecuta código malicioso que ya fue copiado al portapapeles.

El resultado es que el equipo queda infectado con PureRAT, un malware especializado en robar credenciales, contraseñas y sesiones activas.
Desde ese momento, el atacante puede controlar remotamente el sistema, acceder a plataformas de reservas, modificar datos de clientes o incluso realizar fraudes financieros en nombre del hotel.

💻 ¿Por qué el ataque es tan efectivo?

1. Aprovecha la confianza en marcas conocidas. Los correos falsos imitan a la perfección la identidad visual de Booking.com o Expedia.

2. Evade filtros tradicionales. Como el usuario ejecuta el código manualmente, no hay adjuntos ni descargas sospechosas que activen alertas de antivirus.

3. Se propaga desde cuentas legítimas. Los atacantes utilizan cuentas de correo comprometidas de hoteles reales, lo que hace que los mensajes parezcan genuinos para otras víctimas.

4. Se mantiene activa por meses. La campaña fue detectada en abril de 2025 y sigue operando en noviembre, evolucionando constantemente para evitar detección.

🧩 ¿Qué buscan los atacantes?

• Acceder a paneles de administración de reservas.

• Robar credenciales y tokens de sesión para venderlos en foros delictivos.

• Realizar cobros falsos o cambios en las reservas de los clientes.

• Obtener información personal de huéspedes, datos de tarjetas y correos corporativos para otros ataques.

En otras palabras, no buscan solo dinero inmediato, sino control total sobre la operación digital de un hotel.

🧠 Lecciones prácticas para cualquier profesional de TI

Aunque el ataque apunta al sector hotelero, cualquiera que trabaje en soporte, desarrollo o administración de sistemas puede aprender algo valioso:

1. Nunca ejecutes comandos que no entiendas. Si un correo o mensaje te pide abrir la consola, detenerte es la mejor defensa.

2. Aísla entornos de trabajo. Usa máquinas virtuales o navegadores separados para tareas sensibles.

3. Implementa autenticación multifactor (MFA) y políticas estrictas de gestión de contraseñas.

4. Monitorea correos salientes para detectar cuentas comprometidas en tu dominio.

5. Capacita al personal. La ingeniería social es más peligrosa que cualquier exploit de software.

🧰 Qué deben hacer las empresas del sector hotelero

El informe recomienda medidas específicas:

• Formar al personal para reconocer correos de phishing y evitar ejecutar comandos no verificados.

• Configurar filtros avanzados de correo y políticas de autenticación (SPF, DKIM, DMARC).

• Verificar siempre directamente en los portales oficiales (sin seguir enlaces de correos).

• Implementar detección de malware RAT (como PureRAT) y sistemas de comportamiento anómalo.

⚠️ Un recordatorio para todos

El caso ClickFix demuestra que los ataques modernos ya no necesitan vulnerar el código, sino la confianza.
Y en un entorno donde todos dependemos de herramientas SaaS, plataformas de IA y sistemas conectados, la ciberseguridad empieza en la conciencia del usuario.

El clic equivocado ya no solo abre una ventana: puede abrir la puerta a toda tu red.