ConsentFix y ClickFix: nuevas técnicas de ingeniería social comprometen cuentas corporativas de Microsoft 365 en segundos

Qué pasó
Investigaciones publicadas por Huntress Labs el 2 de julio de 2026 describen una nueva generación de ataques dirigidos contra cuentas de Microsoft 365 que prescinden completamente de exploits técnicos. En lugar de buscar vulnerabilidades en el software, los atacantes manipulan al usuario para que ejecute de forma voluntaria las acciones que permiten el robo de credenciales.
La técnica original, bautizada como ClickFix, se popularizó durante 2025 y continúa plenamente activa. Su mecanismo se basa en presentar a la víctima un mensaje falso de verificación, habitualmente un CAPTCHA, que le solicita presionar una secuencia de teclas específica. Al ejecutar esa combinación, el usuario pega y activa inadvertidamente un código malicioso en su propio equipo. La orden es ejecutada por la propia víctima, por lo que el ataque no enfrenta los sistemas tradicionales de detección.
La variante más reciente, llamada ConsentFix, desplaza el vector hacia los flujos de consentimiento de Microsoft 365, es decir, las pantallas de autenticación que los usuarios suelen completar sin mayor revisión. El señuelo llega generalmente mediante plataformas confiables como Dropbox o DocSend, en muchos casos protegido por contraseña, lo que dificulta la inspección por parte de las herramientas de seguridad corporativa. Tras una serie de pasos aparentemente normales, se solicita al usuario arrastrar un enlace de retorno al navegador. Esa acción, que parece cerrar un proceso de autenticación legítimo, entrega al atacante los tokens de sesión necesarios para acceder al correo electrónico y al resto de los servicios de Microsoft 365. El compromiso completo puede concretarse en aproximadamente tres segundos.
Contexto
El surgimiento de ClickFix y ConsentFix refleja una transformación profunda en las estrategias del cibercrimen organizado. Históricamente, los atacantes dependían de la identificación de vulnerabilidades de software o de campañas masivas de phishing mediante correos electrónicos maliciosos. Las técnicas descritas muestran un giro hacia la explotación de la psicología del usuario y de los flujos de trabajo cotidianos.
Expertos en seguridad informática explican que la automatización de tareas cotidianas generó una suerte de reflejo entrenado en los usuarios. Acciones como aceptar ventanas emergentes de cookies, completar verificaciones CAPTCHA o presionar combinaciones de teclas para avanzar procesos son ejecutadas de manera casi mecánica. Los atacantes se valen precisamente de esa automatización del comportamiento para introducir instrucciones dañinas en momentos en los que el usuario no se encuentra alerta.
La migración masiva de las empresas hacia servicios en la nube, en particular Microsoft 365, incrementó la superficie de ataque disponible. Los flujos de consentimiento de autenticación, diseñados originalmente para simplificar la integración entre aplicaciones, se convirtieron en uno de los puntos más sensibles del ecosistema corporativo. La sofisticación creciente de las campañas y el uso de plataformas legítimas como vehículo de distribución elevan significativamente la dificultad de detección.
Impacto para empresas chilenas
En Chile, la adopción de Microsoft 365 entre empresas de distintos tamaños alcanzó niveles significativos durante los últimos años, tanto en grandes corporaciones como en pequeñas y medianas empresas. Este nivel de penetración convierte al país en un mercado atractivo para campañas de ingeniería social dirigidas contra usuarios corporativos.
Las pymes chilenas, que suelen operar con equipos de informática reducidos y presupuestos limitados para ciberseguridad, se encuentran particularmente expuestas a este tipo de amenazas. A diferencia de las grandes empresas, las organizaciones más pequeñas dependen en gran medida del criterio individual de sus colaboradores para detectar intentos de fraude. La creciente sofisticación de campañas como ConsentFix, que utilizan plataformas de uso habitual como Dropbox o DocSend como canal de distribución, reduce la capacidad de los filtros corporativos para identificar el contenido malicioso.
Adicionalmente, el marco regulatorio chileno en materia de protección de datos personales, administrado por la Agencia de Protección de Datos Personales, establece obligaciones específicas para las empresas en caso de incidentes de seguridad que comprometan información de titulares. Una brecha derivada del robo de tokens de sesión puede implicar la obligación de notificar a los afectados, además de eventuales sanciones administrativas y deterioro reputacional. Sectores como el financiero, el retail y la salud, que manejan volúmenes importantes de datos sensibles, enfrentan riesgos particularmente elevados.
Qué sigue
Especialistas coinciden en que las campañas basadas en manipulación del usuario continuarán evolucionando hacia formatos aún más personalizados y difíciles de detectar. La integración de herramientas de inteligencia artificial por parte de los atacantes podría permitir la generación automática de señuelos adaptados al contexto de cada víctima, incrementando la efectividad de las campañas.
Para las empresas chilenas, la principal recomendación es complementar los programas tradicionales de concientización con entrenamientos específicos sobre los nuevos vectores de ataque, junto con la implementación de soluciones de protección de identidad y autenticación reforzada. La verificación estricta de los flujos de consentimiento de autenticación, la restricción de aplicaciones de terceros y la adopción de autenticación de múltiples factores se perfilan como medidas básicas para reducir la exposición a estas amenazas.
¿Necesitas software que se adapte exactamente a tu negocio?
Web apps, dashboards, APIs y plataformas a medida. Código propio, sin licencias ni plataformas genéricas.
Cotiza tu proyectoRespuesta en menos de 24h · Cotizacion sin compromiso
Artículos Relacionados

Railway capta US$100 millones para competir con AWS en infraestructura cloud nativa para inteligencia artificial
La plataforma cloud con sede en San Francisco anunció una ronda Serie B liderada por TQ Ventures, con la que busca posicionarse como alternativa a los proveedores tradicionales como Amazon Web Services y Google Cloud. La compañía, que ya cuenta con dos millones de desarrolladores y procesa más de diez millones de despliegues mensuales, apunta a reducir los tiempos de implementación que resultan críticos en la era de los asistentes de programación basados en inteligencia artificial. La valoración la sitúa entre las startups de infraestructura más relevantes surgidas durante el actual ciclo de inversión en IA.

Apple reporta US$ 1,4 billones en transacciones de la App Store, donde el 90% no paga comisiones a la compañía
La tecnológica estadounidense presentó su informe anual sobre el ecosistema de su tienda de aplicaciones, indicando que las facturaciones y ventas de desarrolladores alcanzaron los US$ 1,4 billones durante 2025. Según la compañía, el 90% de esas transacciones no generaron comisiones para Apple. El reporte se publica días antes de la Conferencia Mundial de Desarrolladores (WWDC), donde se esperan anuncios relevantes en materia de inteligencia artificial.

Nuevo modelo de cobro de GitHub Copilot genera rechazo entre desarrolladores por alza en costos
Microsoft anunció el cambio desde una tarifa plana a un modelo de facturación basado en el consumo de tokens para GitHub Copilot, lo que provocaría un aumento significativo en los costos para usuarios individuales y pequeñas empresas. Desarrolladores en foros como Reddit y X reportaron incrementos que van desde US$29 hasta cerca de US$750 mensuales. La medida entrará en vigencia el 1 de junio de 2026 y reaviva el debate sobre la sostenibilidad del modelo de negocios de las herramientas de inteligencia artificial.