Resumen del Incidente de Seguridad en iClicker
Recientemente, el sitio web de iClicker, una popular plataforma para la participación estudiantil, fue comprometido en un ataque de ingeniería social denominado "ClickFix". Este ataque utilizó un captcha falso para engañar tanto a estudiantes como a instructores y así inducir la instalación de malware en sus dispositivos. iClicker, una subsidiaria de MacMillan, es una herramienta digital ampliamente utilizada en aulas de todo Estados Unidos, apoyando a millones de estudiantes e instructores en diversas universidades.
Entre el 12 y el 16 de abril de 2025, el sitio de iClicker fue hackeado y comenzó a mostrar un captcha falso que instaba a los usuarios a presionar "No soy un robot" para validarse. Al hacerlo, un script de PowerShell se copió en el portapapeles de Windows, lo que permitió a los atacantes robar información sensible. El captcha falso luego instruía a los usuarios a ejecutar este script, facilitando así el ataque.
Aunque el ataque se detuvo, el riesgo era bastante serio. El script de PowerShell ofuscado, cuando se ejecutaba, se conectaba a un servidor remoto para recuperar otro script que podría descargar malware en función del tipo de visitante. El malware, lamentablemente, permitió a los atacantes acceder completamente a los dispositivos infectados. Para otros visitantes, el script descargaba un archivo legítimo de Microsoft, lo que agravó la confusión sobre la gravedad del ataque.
Los ataques de ClickFix han proliferado como una forma de ingeniería social, siendo utilizados en diversas campañas de distribuciones de malware que se disfrazan de captchas de empresas reconocidas. En el caso de iClicker, el malware distribuido probablemente era un "infostealer", capaz de robar cookies, credenciales, contraseñas y datos confidenciales de navegadores como Google Chrome, Microsoft Edge y Mozilla Firefox, así como información sensible de billeteras de criptomonedas.
Este tipo de malware opera recopilando datos y enviándolos de vuelta a los atacantes, quienes pueden utilizarlos para llevar a cabo ataques adicionales o vender la información en mercados de ciberdelincuencia. Los datos robados pueden incluir todo, desde credenciales bancarias hasta archivos con información personal crítica, lo que lleva a violaciones de seguridad a gran escala y potenciales ataques de ransomware. Dado que el ataque estuvo dirigido a estudiantes e instructores, uno de los objetivos podría haber sido obtener credenciales que permitieran infiltrarse más profundamente en las redes universitarias.
Después del incidente, iClicker publicó un boletín de seguridad el 6 de mayo en su sitio web. En este documento, la empresa afirmaba que la vulnerabilidad había sido resuelta y que no se habían comprometido los datos ni las operaciones de iClicker. Sin embargo, el boletín incluía una etiqueta HTML que impedía que el documento fuera indexado por motores de búsqueda, lo que dificultaba el acceso a esta información crítica.
El mensaje del boletín advertía que un tercero había colocado el captcha falso, incitando a usuarios a hacer clic, similar a lo que ocurre con los correos electrónicos de phishing. Recomendaron a cualquier facultad o estudiante que hubiera interactuado con el captcha falso durante las fechas mencionadas que ejecutaran un software de seguridad.
Además, aconsejaron que los usuarios que accediesen al sitio durante el ataque y siguieran las instrucciones del captcha falso cambiaran sus contraseñas de iClicker y, en caso de haber ejecutado el script, que cambiaran todas las contraseñas almacenadas en sus dispositivos. Para facilitar la gestión de contraseñas, sugirieron el uso de administradores de contraseñas como BitWarden o 1Password.
Es importante destacar que aquellos usuarios que accedieran a iClicker a través de la aplicación móvil, o que no encontraron el captcha falso, no corren riesgo alguno del ataque.