En las semanas previas a los Oscars 2026 se han detectado campañas que aprovechan el interés por las nominadas para atraer víctimas hacia páginas maliciosas. Investigadores han identificado una operación llamada Efimer que se disfraza de sitios de descarga de películas y emplea técnicas de SEO y el compromiso de instalaciones de WordPress para ofrecer falsos reproductores o enlaces. Al hacer clic, los usuarios creen que acceden a una copia de alta calidad, pero en realidad están iniciando la descarga de un malware que monitoriza el sistema y roba información sensible.
Paralelamente, firmas de seguridad como Rapid7 han alertado sobre una campaña a gran escala que ha comprometido más de 250 sitios legítimos en al menos 12 países, incluidos Australia, Brasil, Canadá, Czechia, Alemania, India, Israel, Singapore, Slovakia, Switzerland, the UK y the US. En esos casos los atacantes inyectan una página de verificación falsa que aparenta ser un Cloudflare CAPTCHA y utiliza la técnica conocida como ClickFix para convencer al visitante de ejecutar comandos en su propio equipo, desencadenando la instalación de infostealers.
Cómo operan las campañas y qué buscan
La operación Efimer destaca por aprovechar búsquedas en Google más que torrents tradicionales: los atacantes han creado páginas que obtienen visibilidad en resultados orgánicos, y se ha observado que alrededor del 12.11% de los resultados relacionados con las películas buscadas eran maliciosos. Entre las señuelos más usados figuraban títulos como Marty Supreme (16 enlaces maliciosos), Bugonia (15) y Sinners (12).
Una vez en el sitio, al usuario se le pide instalar un «reproductor especial» que en realidad instala un malware capaz de monitorizar el portapapeles y sustituir direcciones cuando se intentan enviar criptomonedas, además de robar contraseñas y cookies de sesión.
ClickFix y captchas falsos
La variante detectada por Rapid7 utiliza un engaño de verificación similar a un CAPTCHA, pero en lugar de resolver un rompecabezas el visitante recibe un cuadro de diálogo que le pide copiar y pegar un comando en la ventana Ejecutar de Windows.
Esa instrucción lanza una cadena de descargas y scripts que despliegan infostealers como Vidar, Impure, Vodka o Double Donut. Este método explota la confianza en sitios legítimos y la normalidad de ver CAPTCHAs, y por ello tiene un alto éxito en engañar a usuarios poco sospechosos.
Alcance y riesgos prácticos
El impacto no se limita a usuarios individuales: las credenciales y datos exfiltrados pueden usarse para fraude financiero, acceso a cuentas corporativas o ventas en mercados clandestinos. La automatización del compromiso de WordPress sugiere que se aprovechan vulnerabilidades en plugins o temas, credenciales filtradas o interfaces administrativas accesibles tras intentos de brute-force. Además, la diversificación de payloads —desde clipboard hijackers hasta distintos infostealers— hace que los atacantes persigan tanto carteras de criptomonedas como nombres de usuario, contraseñas y cookies que permitan sesiones persistentes.
Recomendaciones para usuarios y administradores
Para reducir el riesgo se recomienda mantener actualizado todo el software, instalar soluciones de seguridad con firmas y heurísticas actualizadas, y configurar un firewall robusto. Los administradores de WordPress deben auditar plugins y temas, revisar accesos administrativos, aplicar 2FA en cuentas críticas y utilizar contraseñas largas y únicas gestionadas por un gestor de contraseñas. Evite ejecutar comandos copiados desde páginas web y desconfíe de captchas o reproductores que pidan acciones inusuales.
Buenas prácticas adicionales
Los usuarios de criptomonedas deben verificar direcciones manualmente y utilizar carteras que ofrezcan confirmaciones fuera del portapapeles; la autenticación en dos pasos y el monitoreo de movimientos en cuentas son claves. Los responsables de sitios web deberían realizar escaneos de vulnerabilidades con regularidad, limitar intentos de inicio de sesión y restaurar copias de seguridad antes de actualizar. Adoptar una postura preventiva reduce significativamente la efectividad de campañas como Efimer o las que emplean ClickFix.
