Cabecera blog ciberseguridad

Paste & Run: Ejecución de comandos maliciosos en ordenadores corporativos

- Ciber 4 All Team
Paste & Run es una técnica maliciosa en auge

La técnica Paste & Run combina ingeniería social y malware para lograr infectar ordenadores de profesionales y tener acceso a la información que almacenan

A lo largo de 2025 ha emergido una técnica maliciosa que está causando grandes quebraderos de cabeza a las empresas: Paste & Run, también conocida popularmente como la técnica ClickFix.

Tal es su trascendencia que en marzo se incorporó Paste & Run al catálogo de técnicas empleadas por los actores maliciosos de MITRE ATT&CK, un referente a nivel global en lo que respecta a las técnicas, tácticas y procedimientos (TTP) que emplean los ciberatacantes.

A continuación, vamos a explicar en qué consiste la técnica Paste & Run, cuáles son los objetivos de los actores maliciosos que la emplean y qué pueden hacer las empresas y los profesionales para proteger los ordenadores corporativos y evitar graves daños.

1. La técnica Paste & Run permite a los delincuentes infectar con malware los ordenadores de sus víctimas

La mejor forma de entender cómo funciona la técnica Paste & Run es desglosando sus fases:

  1. Los actores maliciosos realizan una investigación sobre sus víctimas. ¿Con qué fin? Que el engaño sea creíble. En esta labor de inteligencia maliciosa los actores hostiles cuentan con la ayuda de la IA y el caudal de información que existe en internet sobre una empresa y sus profesionales.
  2. Se crea una campaña de phishing haciendo uso, también, de la IA para suplantar la identidad de una compañía, cuidar la apariencia visual del email y afinar su contenido.
  3. Precisamente, el contenido del email suele girar sobre cuestiones empresariales que parecen reales. Por ejemplo, se hace referencia a tarifas o instrucciones operativas o a la necesidad de actualizar un programa con el objetivo de que la víctima haga clic en un archivo HTML adjunto al correo.
  4. Al realizar esta acción, la víctima se encuentra con una ventana emergente que simula ser un mensaje de Microsoft Word que señala que no se puede abrir el documento por la existencia de un problema. Para solventarlo hay que hacer clic en un botón (lo que implica copiar un comando, sin que la víctima sea consciente de ello) y seguir las instrucciones que se listan, que generalmente son teclear Win+R para abrir la consola de Windows, Ctrl+V para pegar el comando e Intro para ejecutarlo.
  5. De esta forma se está ejecutando un comando de PowerShell malicioso que permite descargar y ejecutar un troyano de acceso remoto (RAT) desde un servidor de comando y control remoto, sin que el usuario sea capaz de detectar actividad sospechosa en su ordenador.
  6. Gracias a este RAT, los delincuentes pueden persistir en los equipos atacados e infectar los dispositivos de sus víctimas con un infostealer capaz de recopilar credenciales de acceso a software empresarial, cookies de sesión, información almacenada en documentos, etc. Los expertos en ciberseguridad han detectado el uso de infostealers tristemente populares como Lumma Stealer o Vidar ligados a la técnica Paste & Run.

2. El uso de Paste & Run ha ido en aumento a lo largo del último año

Desde el inicio de 2025 se han detectado varias campañas de ataques que han recurrido a la técnica Paste & Run para infectar ordenadores, como la ejecutada por Mocha Manakin. Gracias al uso de un backdoor, los ciberdelincuentes han sido capaces de implementar mecanismos avanzados de persistencia y mantener la conexión entre el dispositivo atacado y el servidor de comando y control malicioso durante un largo periodo de tiempo.

Otro caso de relevancia es el de Havoc, un framework de comando y control que permite a los atacantes tomar el control de los dispositivos infectados y que se ha propagado usando la técnica de Paste & Run para atacar a cuentas de Microsoft Sharepoint, una solución clave en cientos de miles de empresas.

3. Por qué puede tener éxito Paste & Run: El desconocimiento de las víctimas es clave

Paste & Run forma parte de una familia de técnicas que tienen en común que es el propio usuario quien infecta su dispositivo al ejecutar un enlace malicioso, un documento, una imagen o un comando, como ocurren en este caso.

Mientras gran parte de los profesionales son conscientes de que no deben hacer clic en webs sospechosas o descargar programas, documentos o imágenes provenientes de fuentes no verificadas, existe un gran desconocimiento sobre la ejecución de comandos.

De hecho, gran parte de las plantillas de las empresas tienen conocimientos básicos de informática y no son conscientes de qué están haciendo cuando ejecutan comandos siguiendo las instrucciones de los actores hostiles.

Además, es importante señalar que la técnica Paste & Run permite a los atacantes eludir los controles de seguridad de los gestores de correo y de los navegadores que bloquean o alertan sobre archivos potencialmente dañinos evitando su descarga.

Paste & Run es una técnica sofisticada que tiene su base en la ingeniería social

4. Espionaje, acceso a software crítico, robo de datos… Cuáles son los objetivos de los atacantes que usan Paste & Run

Es importante tener claro que la técnica Paste & Run solo es un vehículo para el cumplimiento de los objetivos de los actores maliciosos. Al proceder a instalar infostealers y asegurarse la máxima persistencia en los equipos atacados, los delincuentes pueden recopilar:

  • Información sobre las cuentas online y los medios de pago de los profesionales e, incluso, de las empresas, en caso de que el usuario del ordenador tenga acceso a estos datos.
  • Credenciales para acceder a aplicaciones corporativas como ecommerce, programas de facturación, software logísticos, etc.
  • Cookies de sesión que permiten eludir un mecanismo de seguridad cada vez más común como el doble factor de autenticación.
  • El historial de los navegadores web empleados por el usuario.

Además, algunos infostealers son capaces de:

  • Realizar capturas de pantalla de los ordenadores infectados, lo que puede ser de enorme ayuda para obtener datos sensibles.
  • Hacerse con documentos y otra clase de archivos que se hallen en un ordenador atacado con éxito.

Como consecuencia de todo ello, la técnica Paste & Run puede ser de enorme ayuda para los actores maliciosos que desean espiar a empresas o directivos. ¿Con qué fin?

  • Realizar fraudes financieros.
  • Robar secretos empresariales y propiedad industrial.
  • Comerciar con datos económicos, comerciales o de clientes.
  • Emplear los datos personales sustraídos para llevar a cabo estafas contra clientes, trabajadores o proveedores.
  • Llevar a cabo acciones encubiertas en los programas corporativos, con el objetivo de sabotear el funcionamiento de la compañía. Por ejemplo, alterando su facturación, modificando la gestión de pedidos o subvirtiendo las ventas realizadas.

5. Cómo combatir los ataques que emplean la técnica Paste & Run

En MITRE ATT&CK recomiendan tres vías para mitigar el uso de la técnica Paste & Run contra profesionales y empresas:

  1. Prevenir la ejecución de comandos de PowerShell maliciosos, por ejemplo, restringiendo el acceso a elementos de lenguaje peligrosos, que puedan ser empleados para «ejecutar API o archivos arbitrarios de Windows».
  2. Prevenir las intrusiones en la red, mediante sistemas que analicen y eliminen descargas maliciosas y permitan bloquear la actividad de los actores hostiles.
  3. Restringir el contenido basado en web, de tal forma que se puedan bloquear archivos desconocidos que no deban descargarse, así como archivos provenientes de sitios sospechosos.

Más allá de estas recomendaciones que pueden implementar los profesionales a cargo de la ciberseguridad de las empresas, es importante, también, contar con servicios de ciberseguridad que permitan prevenir que la técnica Paste & Run tenga éxito o detectar la presencia de actividad maliciosa en ordenadores corporativos:

  • Test de ingeniería social. Para que la técnica Paste & Run funcione, las víctimas tienen que decidir copiar y ejecutar los comandos maliciosos. Por eso, la mejor forma de prevenir los ataques cimentados en torno a esta técnica es formar a los profesionales sobre cómo funciona esta técnica y de qué manera deben actuar. Los tests de ingeniería social consisten en campañas simuladas que permiten constatar el nivel de resiliencia de la plantilla frente a esta clase de ataques y formar a los profesionales de una manera práctica.
  • Auditorías de seguridad y monitorización continua de la infraestructura tecnológica. El uso de herramientas automatizadas para realizar pruebas de seguridad y detectar tráfico o actividad sospechosos en la infraestructura corporativa es esencial para la seguridad de las empresas. No menos vital resulta la intervención de expertos en ciberseguridad capaces de analizar los datos ofrecidos por las soluciones automatizadas para descartar falsos positivos y descubrir actividad maliciosa más sofisticada capaz de sortear los mecanismos de detección de las herramientas.

6. Conclusiones

En definitiva, la técnica Paste & Run evidencia, una vez más, que los actores maliciosos innovan constantemente para desarrollar técnicas, tácticas y procedimientos que les permitan cumplir sus objetivos.

Por eso, las empresas no pueden obviar que el panorama de amenazas es cada vez más complejo y peligroso.

Invertir en ciberseguridad y concienciar al conjunto de las organizaciones no es una opción, sino una medida estratégica pensada para salvaguardar los activos críticos de una empresa y su propia operatividad.

Una acción en apariencia tan baladí como hacer caso a una ventana emergente puede acabar generando pérdidas económicas, daños reputacionales y problemas legales a una organización.

De ahí que prevenir el uso de la técnica Paste & Run contra los profesionales de una empresa o detectar de manera temprana un ataque en marcha sea esencial.