CAPTCHAs falsos: así es la estafa de la que hay que protegerse al hacer la verificación en una página
La inteligencia artificial potencia la sofisticación de estos fraudes en la web.
Uno de los métodos de verificación en internet es el uso de CAPTCHAs, esos cuadros que suelen pedir identificar imágenes específicas o copiar un texto distorsionado antes de acceder a un recurso online. Un sistema que también está siendo vulnerado por los ciberdelincuentes.
Los atacantes han encontrado un nuevo camino para cometer fraudes y propagar malware, aprovechando la familiaridad del usuario y su confianza en estas herramientas, que suelen ser más un beneficio para la web a visitar que para el usuario.
Los CAPTCHAs tradicionales nacieron para bloquear bots automatizados que, según datos de ESET, representan cerca del 40% del tráfico mundial en la web.
Aunque algunos bots cumplen funciones legítimas, como la indexación de buscadores, una cifra significativa es usada con fines maliciosos. Estos bots pueden lanzar ataques de denegación de servicio (DDoS), propagar discursos de odio, desestabilizar foros y redes sociales, o intentar el secuestro de cuentas personales y empresariales.
La amenaza detrás de los CAPTCHAs falsos se materializa cuando las supuestas pruebas de verificación comienzan a pedir acciones inusuales. En vez de tareas simples, pueden solicitar que el usuario pulse combinaciones especiales de teclas en Windows, pegue comandos secretos en consolas o realice acciones específicas, como habilitar permisos, que parecen inocentes.
Estas tácticas activan utilidades legítimas del sistema —PowerShell, el comando mshta.exe, entre otras—, pero el objetivo es uno: descargar e instalar software malicioso sin que la víctima lo perciba.
Los datos robados se venden en la dark web o se utilizan para suplantar identidades y cometer fraudes financieros.
En lo que va de 2024, los infostealers afectaron a más de 23 millones de usuarios, robando más de 2.000 millones de credenciales. La mayoría de las infecciones se registra en sistemas Windows, por su amplia presencia mundial.
Uno de los casos más notorios fue el de Lumma Stealer, un malware que logró comprometer cerca de 10 millones de dispositivos antes de ser desmantelado mediante una operación internacional donde participó ESET. El modelo de negocio se apoyó en la modalidad “malware como servicio” (MaaS), permitiendo a otros actores integrar sus propios módulos para ampliar la escala delictiva.
Existen varias señales de alerta que pueden ayudar a identificar CAPTCHAs falsos antes de que se produzca una infección. Los especialistas de ESET destacan ciertas pautas clave para minimizar los riesgos:
Dudar de todo CAPTCHA que solicite ejecutar comandos avanzados, pegado de instrucciones en consolas, descargas o instalaciones de software adicionales.
Sospechar si aparece un CAPTCHA en sitios donde habitualmente no hay verificaciones, sobre todo si se presenta de manera inesperada.
Evitar clics impulsivos motivados por impaciencia o el apuro por acceder al contenido; dedicar unos segundos extra para analizar la legitimidad del desafío suele marcar la diferencia.