Encuentran un comando de Windows olvidado por Microsoft que los ciberdelincuentes están explotando para estafar

Una función que hasta hace poco estaba en las sombras de Windows, sin atraer la atención de usuarios ni expertos en ciberseguridad, se ha convertido en una herramienta que los delincuentes informáticos están usando para crear ataques. Se trata de finger.

Este comando, heredado de sistemas Unix y presente en versiones modernas del sistema operativo de Microsoft, ha sido rescatado por hackers y convertido en una vía eficaz para ejecutar ataques, evadir defensas tradicionales y poner en riesgo información personal de víctimas desprevenidas.

Qué es el comando finger y por qué su uso ha pasado desapercibido

En su origen, finger fue concebido como una utilidad para intercambiar información de usuario entre sistemas Unix y, más tarde, Windows. Permitía consultar detalles básicos de una cuenta: nombre, directorio, número de teléfono e histórico de actividad, desplegando su información al usuario que lo solicitaba desde la línea de comandos.

Si bien su función fue útil durante el auge de sistemas multiusuario, la llegada de nuevos protocolos y servicios lo volvió obsoleto y cayó en desuso.

A pesar de esto, finger nunca se eliminó completamente de Windows. Su presencia quedó relegada a un pequeño rincón del sistema, escapando a la vigilancia de la mayoría de los programas antivirus y pasando inadvertido tanto por quienes gestionan redes como por las propias auditorías de seguridad.

Al considerarse sin valor ni aplicación práctica en tiempos actuales, su actividad suele escapar incluso a los registros de los cortafuegos.

Cómo los hackers explotan finger para ataques en Windows

MalwareHunterTeam, investigador de ciberseguridad, ha detectado un repunte en el uso de finger como componente principal de campañas de ataque asociadas con el método denominado ClickFix. Este esquema mezcla la manipulación psicológica con la sofisticación técnica, usando ingeniería social para inducir al usuario a ejecutar instrucciones peligrosas en su propio sistema.

El proceso arranca generalmente fuera del entorno local. Los atacantes crean páginas falsas que simulan mecanismos de autenticación con supuestos controles de seguridad, como verificaciones de CAPTCHA.

El usuario objetivo, al creer que está enfrentando una comprobación rutinaria, recibe instrucciones para introducir un comando específico en la consola o en el cuadro de ejecutar de Windows. Al hacerlo, activa de manera involuntaria una comunicación remota mediante finger con un servidor que ya está bajo el control de los delincuentes.

Lo peligroso del proceso radica en la falta de sospechas: el comando, aparentemente inofensivo y desconocido, establece un canal de ida y vuelta que no suele estar monitorizado por el software de defensa, lo que permite que los atacantes descarguen scripts, ejecuten código y transfieran datos sin que ningún mecanismo de detección tradicional intervenga.

El tipo de ataques identificados sigue un patrón: el comando finger solicita datos a un servidor externo, el cual responde con una cadena de texto diseñada para ejecutarse por completo en Windows. Esta respuesta puede incluir secuencias que descargan archivos alojados en sitios remotos, habitualmente disimulados como documentos legítimos o archivos PDF para engañar al usuario.

Cómo protegerse de este tipo de ataques

La principal recomendación apunta a la prevención en dos frentes. Primero, bloquear de manera proactiva el puerto TCP 79 en el cortafuegos, anulando el canal por el que opera el comando finger. Esta acción no implica riesgo de afectar el funcionamiento ordinario de Windows en la actualidad, dado que el protocolo finger no se utiliza para ningún servicio legítimo relevante hoy.

En segundo lugar, es vital fomentar la desconfianza justificada y la cautela ante cualquier verificación o sitio en internet que solicite abrir la consola de comandos o el cuadro de ejecutar para introducir instrucciones. No existe motivo legítimo por el que un CAPTCHA o un test de autenticidad requiera manipulación manual a través de comandos, y cualquiera que brinde tales indicaciones persigue seguramente un objetivo fraudulento.