La compañía de ciberseguridad ESET lanzó una advertencia sobre una táctica cada vez más común: páginas de verificación falsas que te manipulan para instalar malware directamente en tu equipo.
La próxima vez que una página te pida demostrar que no eres un robot, detente un momento. Esa familiar prueba de seguridad, diseñada para protegernos de bots, ahora es usada como un arma para engañarte.
La trampa detrás de la confianza
Este engaño funciona porque explota la costumbre y la impaciencia, erstamos tan habituados a los CAPTCHA que seguimos las instrucciones sin pensarlo dos veces, solo para acceder rápido al contenido que buscamos.
Los atacantes se aprovechan de esa confianza para ocultar sus intenciones. Puedes llegar a estas trampas a través de un enlace en un correo de phishing, un SMS o al visitar un sitio web legítimo que fue comprometido con anuncios maliciosos.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, contextualiza el riesgo.
«Cuando se está frente a un CAPTCHA solemos seguir las instrucciones y hacer clic sin pensar demasiado. Al fin y al cabo, se supone que mantiene alejados a los bots, pero no siempre es así. En algunos casos, la propia página es falsa y puede meterte en problemas», detalló.
Así funciona el engaño del CAPTCHA falso
En lugar de pedirte que identifiques semáforos o escribas un texto, el CAPTCHA falso te da una serie de instrucciones inusuales.
Primero, te pide hacer clic para «verificar que eres humano». Luego, puede solicitar que presiones la tecla de Windows + R para abrir la ventana «Ejecutar» de tu computadora.
Después, te indica que presiones CTRL + V. Esta acción pega un comando que el malware ya había copiado en tu portapapeles sin que lo notaras. El último paso es presionar ENTER, ejecutando así el código malicioso.
Este comando utiliza herramientas legítimas de Windows, como PowerShell, para descargar el malware desde un servidor externo, evadiendo las defensas del sistema.
Infostealers: El objetivo es tu información
El propósito final de este ataque suele ser la instalación de un infostealer o ladrón de información. Este tipo de malware está diseñado para rastrear tu computadora en busca de usuarios, contraseñas, fotos, contactos y datos bancarios.
«Uno de los principales riesgos detrás de los CAPTCHA falsos son los infostealers. Se trata de programas maliciosos diseñados para rastrear ordenadores y teléfonos móviles en busca de nombres de usuario, fotos, contactos y otros datos confidenciales que puedan venderse en la dark web o utilizarse para suplantar la identidad», advirtió Gutiérrez Amaya.
Según un estudio de cyberscoop, en 2024 se registraron al menos 23 millones de víctimas de este tipo de malware, resultando en el robo de más de 2,000 millones de credenciales. La investigación no cuenta con una validación externa pública al momento de esta publicación.
Otro riesgo es la instalación de un Troyano de Acceso Remoto (RAT), que le da al atacante control total sobre tu dispositivo para espiarte o robar archivos.
¿Cómo protegerte?
Consideramos que esta táctica demuestra la constante adaptación de los ciberdelincuentes. El ataque no requiere de un fallo de seguridad complejo, sino de la manipulación del comportamiento humano, lo que lo hace especialmente efectivo.
La principal defensa se encuentra en la atención y en dudar, si vez algo extraño. Las siguientes recomendaciones de ESET son clave:
- Desconfía de solicitudes inusuales: Un CAPTCHA legítimo nunca te pedirá ejecutar comandos o abrir programas.
- Mantén todo actualizado: Tu sistema operativo, navegador y software de seguridad deben tener siempre las últimas actualizaciones.
- Utiliza software de seguridad: Una suite de seguridad de un proveedor fiable es esencial para bloquear actividades sospechosas.
- Evita el software pirata: Es uno de los principales vectores de distribución de todo tipo de malware.
- Considera un bloqueador de anuncios: Puede prevenir la carga de contenido malicioso inyectado en páginas web.
Si por error ya caíste en la trampa, actúa rápido: desconecta tu equipo de internet, ejecuta un análisis completo con tu software de seguridad, cambia todas tus contraseñas desde otro dispositivo y activa la autenticación de doble factor en todas tus cuentas.
