Si instalaste "Claude Code" desde un anuncio patrocinado en Google en los últimos días, tu equipo puede estar comprometido. El malware roba contraseñas, cookies y datos del sistema en segundo plano.
¿Qué es InstallFix?
InstallFix es una técnica de ingeniería social donde los atacantes clonan páginas de instalación de herramientas legítimas — en este caso, Claude Code de Anthropic — y reemplazan las instrucciones de instalación con comandos maliciosos.
En lugar de instalar el software que buscas, ejecutas sin saberlo un malware llamado Amatera Stealer — una evolución del ACR Stealer — diseñado para robar todo lo que tiene valor en tu equipo: contraseñas guardadas, cookies de sesión, datos del sistema.
La distribución se realiza principalmente a través de Google Ads: los atacantes compran anuncios que aparecen sobre los resultados orgánicos cuando alguien busca "Claude Code install". Las URLs se ven plausibles. El sitio se ve idéntico al original.
Cómo funciona el ataque
1. El señuelo
Buscas "Claude Code install" en Google. Aparece un anuncio patrocinado con una URL que parece legítima — algo como claud-code.pages.dev o claude-code-install.squarespace.com. El sitio se ve exactamente como el de Anthropic.
2. El comando envenenado
El sitio clonado te pide que ejecutes un comando de instalación. Copias y pegas en tu terminal — algo que millones de desarrolladores hacen cada día sin pensarlo. Ese comando, en lugar de instalar Claude Code, descarga y ejecuta el malware.
3. El payload: Amatera Stealer
- En Windows: Se ejecuta vía cmd.exe y mshta.exe de forma silenciosa
- En macOS: Comandos en base64 con etapas múltiples para evadir detección
- Roba contraseñas guardadas en el navegador, cookies de sesión activas, datos del sistema
- Usa CDNs legítimos como servidor de comando y control (C2) para no ser detectado
4. Hospedaje en servicios legítimos
Los atacantes alojan los sitios clonados en Cloudflare Pages, Squarespace y Tencent EdgeOne — servicios confiables — para que los filtros de seguridad no los bloqueen automáticamente.
Dominios maliciosos identificados
Esta es la lista de dominios clonados detectados en la campaña. Si accediste a alguno de estos sitios, considera que tu equipo puede estar comprometido:
Los IoCs (Indicadores de Compromiso) son de corta duración. Los atacantes rotan dominios rápidamente. Esta lista puede estar incompleta. Fuente original: pushsecurity.com/blog/installfix/
Cómo protegerte ahora mismo
- Nunca copies comandos de instalación desde anuncios. Siempre ve directamente al sitio oficial del desarrollador.
- Verifica el dominio. Claude Code solo se instala desde claude.ai o el repositorio oficial de Anthropic en GitHub.
- Desconfía de cualquier urgencia o anuncio patrocinado para instalar herramientas de desarrollo.
- Si ejecutaste un comando sospechoso: cambia contraseñas inmediatamente, revoca cookies de sesión y haz un análisis de malware en tu equipo.
- Considera instalar una extensión de seguridad en el navegador que analice dominios lookalike antes de que carguen.
Por qué esto importa para pequeños negocios
Esta campaña afecta especialmente a quienes están explorando herramientas de IA por primera vez. Con el auge de Claude y otras IAs, millones de personas no técnicas buscan instalarlas siguiendo tutoriales — y son exactamente el blanco perfecto para este tipo de ataque.
Si tienes empleados o colaboradores que usan herramientas de IA en tu negocio, comparte este artículo con ellos. La mejor defensa es el conocimiento.
Basado en el reporte técnico de Push Security: "InstallFix: Weaponizing malvertized install guides" (Marzo 2026). Para el análisis técnico completo incluyendo IoCs y scripts de segunda etapa, consulta pushsecurity.com/blog/installfix/
Únete a mi comunidad para recibir alertas como esta cada semana. Todos los viernes, análisis práctico de amenazas reales.
Unirme a la comunidad →