Esta herramienta, la cual está pensada para proteger la web, se ha convertido en un nuevo objetivo para los delincuentes para robar información
Por: Marcela Islas
Los CAPTCHAs, esos cuadros que piden identificar imágenes o copiar textos distorsionados antes de acceder a un recurso online, nacieron como un método para diferenciar a los humanos de los bots.
Sin embargo, esta herramienta, pensada para proteger la web, se ha convertido en un nuevo objetivo para los ciberdelincuentes.
De acuerdo con ESET, los bots representan cerca del 40% del tráfico mundial. Aunque algunos son legítimos, como los que indexan contenido para buscadores, otros ejecutan ataques DDoS, propagan discursos de odio, intentan secuestrar cuentas y distribuyen malware.
Para detenerlos, se implementaron los CAPTCHAs, pero la familiaridad de los usuarios con este mecanismo abrió la puerta a una estafa sofisticada: los CAPTCHAs falsos.
¿CÓMO FUNCIONAN LOS CAPTCHAS FALSOS?
Estos falsos desafíos imitan a la perfección la estética y dinámica original, pero esconden un fin malicioso. Mientras el usuario cree validar su identidad, en realidad interactúa con un sistema que busca comprometer su dispositivo.
La amenaza se vuelve evidente cuando la "verificación" solicita acciones inusuales: presionar combinaciones de teclas, pegar comandos en la consola o habilitar permisos especiales. Dichas instrucciones activan herramientas legítimas como PowerShell o mshta.exe, utilizadas para descargar e instalar software malicioso.
El objetivo principal es la instalación de infostealers, programas diseñados para robar credenciales, fotos, contactos y datos sensibles.
En lo que va de 2024, este tipo de malware afectó a más de 23 millones de usuarios, sustrayendo 2.000 millones de credenciales. Casos como Lumma Stealer demostraron la magnitud del problema, comprometiendo millones de dispositivos bajo el modelo "malware como servicio".
Los CAPTCHAs fraudulentos también distribuyen troyanos de acceso remoto (RAT), como AsyncRAT, que permite a los atacantes espiar, robar archivos y controlar sistemas completos.
La estafa inicia con enlaces maliciosos en correos de phishing, redes sociales o SMS, e incluso mediante anuncios integrados en sitios legítimos. Con el avance de la inteligencia artificial, estos engaños son cada vez más convincentes.
¿CÓMO EVITAR CAER EN LA TRAMPA DE LOS CAPTCHAS FALSOS?
- Desconfía de CAPTCHAs que soliciten ejecutar comandos, descargas o instalaciones.
- Sospecha si aparece una verificación en sitios donde no es habitual.
- Analiza la URL y el certificado de seguridad antes de interactuar.
- Evita clics impulsivos; tomarse unos segundos para revisar puede salvar tu información.