### ErrTraffic: Nueva herramienta automatiza ataques ClickFix generando fallos falsos en webs comprometidas

#### Introducción

En las últimas semanas, la comunidad de ciberseguridad ha detectado la proliferación de una nueva herramienta de cibercrimen denominada ErrTraffic. Este software malicioso, distribuido en foros clandestinos y marketplaces de la dark web, permite a los actores de amenazas automatizar ataques del tipo ClickFix mediante la generación de “glitches” o errores falsos en sitios web previamente comprometidos. El objetivo es manipular el comportamiento de los usuarios, induciéndoles a descargar cargas útiles maliciosas o seguir instrucciones diseñadas para comprometer aún más sus dispositivos y credenciales. El auge de este tipo de ataques pone en alerta a los responsables de seguridad, ya que la automatización y la sofisticación de ErrTraffic reducen la barrera de entrada para ciberdelincuentes con poca experiencia técnica.

#### Contexto del Incidente o Vulnerabilidad

El concepto de ClickFix, popularizado en ámbitos de cibercrimen en 2023, describe una técnica de ingeniería social que explota la confianza del usuario en los mensajes del sistema o los elementos de la interfaz web. Tradicionalmente, los atacantes empleaban métodos manuales para modificar el aspecto visual de las páginas y simular errores, notificaciones de sistema o advertencias de seguridad falsas. Sin embargo, ErrTraffic va un paso más allá al proporcionar un framework automatizado que inserta dinámicamente estos fallos simulados en páginas legítimas tras haberlas comprometido, ya sea mediante explotación de vulnerabilidades (por ejemplo, XSS, CSRF, o mediante plantillas web desactualizadas) o a través de credenciales robadas.

#### Detalles Técnicos

ErrTraffic está orientado a la explotación de sitios web vulnerables, principalmente aquellos desarrollados en CMS populares como WordPress, Joomla y Drupal, aunque sus módulos son fácilmente adaptables a desarrollos a medida. El ataque se inicia tras la inyección de un script JavaScript malicioso, que puede ejecutarse a través de exploits conocidos (por ejemplo, CVE-2023-24124 para plugins de WordPress o CVE-2023-29336 para Joomla).

El script de ErrTraffic monitoriza la interacción del usuario y, tras detectar patrones concretos (por ejemplo, clics repetidos en un área inactiva, errores JavaScript genuinos, o tiempos de carga anómalos), despliega un “glitch” visual que simula un fallo de sistema, un error de descarga o una advertencia de seguridad. El usuario recibe entonces instrucciones para descargar un supuesto parche, actualizador o herramienta de reparación.

Las cargas útiles (payloads) suelen estar ofuscadas y alojadas en infraestructuras de alojamiento comprometidas o en servicios de almacenamiento legítimos explotados mediante técnicas de living-off-the-land. Se han detectado variantes de malware como infostealers (Stealc, Redline), troyanos bancarios y, en algunos casos, ransomware de la familia Phobos.

La automatización de ErrTraffic incluye capacidades de rotación de dominios de descarga, generación de hashes únicos para evadir soluciones de EDR/AV y uso de frameworks como Metasploit para la entrega de payloads personalizados. Los TTPs identificados corresponden principalmente a los apartados TA0002 (Ejecutar código), TA0004 (Evasión de defensa) y TA0006 (Recopilación de credenciales) del framework MITRE ATT&CK.

Indicadores de compromiso (IoC) asociados incluyen dominios temporales con nombres similares a servicios legítimos, scripts JavaScript con cadenas ofuscadas y patrones de tráfico HTTP/HTTPS anómalos hacia infraestructuras C2.

#### Impacto y Riesgos

Según los primeros análisis, ErrTraffic ha sido empleado en campañas dirigidas principalmente a sitios con alto tráfico en Europa y América. Se estima que, en apenas dos semanas, la herramienta ha afectado al menos a un 0,2% de los sitios web con WordPress en España, según datos de Shodan y censos de Wappalyzer.

Los riesgos incluyen la pérdida de integridad de la web, robo masivo de credenciales, instalación de malware en endpoints corporativos y filtración de datos personales, exponiendo a las organizaciones a sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2. El impacto económico se calcula en cientos de miles de euros por incidentes relacionados con robo de datos, interrupciones de servicio y costes de recuperación.

#### Medidas de Mitigación y Recomendaciones

Para minimizar el impacto de ErrTraffic, se recomienda:

– Auditar y actualizar los CMS, plugins y plantillas, priorizando la corrección de vulnerabilidades conocidas (CVE-2023-24124, CVE-2023-29336, entre otras).
– Monitorizar la integridad de los archivos web y el contenido JavaScript inyectado mediante herramientas de EDR y WAF avanzados.
– Implementar Content Security Policy (CSP) restrictivas para bloquear la ejecución de scripts no autorizados.
– Formar a los usuarios sobre ingeniería social y los riesgos de descargar supuestos “parches” desde portales no verificados.
– Establecer mecanismos de respuesta rápida ante detección de IoC relacionados con ErrTraffic.

#### Opinión de Expertos

Especialistas del CERT-EU han señalado que ErrTraffic representa una evolución significativa en la automatización de campañas de ingeniería social. “El verdadero peligro radica en la capacidad de adaptar dinámicamente los mensajes fraudulentos en función del comportamiento del usuario, lo que incrementa la tasa de éxito del ataque”, afirma Javier López, analista senior de amenazas. Por su parte, la comunidad de Threat Intelligence alerta sobre la dificultad de detección temprana en entornos con políticas de seguridad laxas o ausencia de telemetría avanzada.

#### Implicaciones para Empresas y Usuarios

El auge de herramientas como ErrTraffic obliga a las organizaciones a reforzar sus controles proactivos sobre la cadena de suministro digital. Para los responsables de seguridad (CISO, SOC, administradores) resulta crítico actualizar las estrategias de defensa, revisar la exposición en internet y establecer canales de comunicación claros para advertir a los usuarios sobre este tipo de fraudes. Además, la rápida adopción de la automatización por parte de los ciberdelincuentes marca una tendencia que se consolidará en 2024, exigiendo inversión continua en Threat Hunting y formación avanzada.

#### Conclusiones

ErrTraffic ejemplifica la profesionalización y automatización creciente del cibercrimen, introduciendo técnicas de manipulación visual cada vez más convincentes y difíciles de detectar. La combinación de exploits conocidos, entrega automatizada de malware y personalización del engaño incrementa notablemente el riesgo para empresas y usuarios. La anticipación y la capacitación técnica serán claves para contrarrestar estas amenazas emergentes en el ecosistema digital europeo.

(Fuente: www.bleepingcomputer.com)