Los delincuentes han descubierto una nueva forma de realizar fraudes y difundir malware, aprovechando la confianza y familiaridad que los usuarios tienen con estas herramientas, que en muchas ocasiones son más beneficiosas para la página que para el propio usuario.

Los CAPTCHAs convencionales fueron creados con el propósito de impedir el acceso de bots automatizados, que, según información de ESET, constituyen aproximadamente el 40% del tráfico global en internet.

Algunos bots tienen funciones legítimas, pero muchos son utilizados para actividades maliciosas como ataques DDoS, discursos de odio y secuestro de cuentas.

Los sitios web utilizan CAPTCHAs para combatir bots, pero los delincuentes crean páginas de verificación falsas que imitan perfectamente estos sistemas, lo que facilita el fraude.

Mientras el usuario cree que está validando su identidad de manera auténtica, en realidad está cayendo en una trampa sofisticada. La amenaza de los CAPTCHAs falsos se hace evidente cuando las pruebas que se presentan empiezan a requerir acciones extrañas.

En lugar de tareas sencillas, podrían pedir al usuario que pulse combinaciones particulares de teclas en Windows, que inserte comandos secretos en terminales o que realice acciones específicas, como conceder permisos, que aparentan ser inofensivas. Estas estrategias activan herramientas legítimas del sistema —como PowerShell o el comando mshta.exe—, pero el propósito es claro: descargar e instalar software malicioso sin que la víctima se dé cuenta.

ESET informa que los incidentes relacionados con CAPTCHAs falsos buscan instalar infostealers, un tipo de malware que roba datos sensibles de computadoras y móviles. En 2024, este malware ha afectado a más de 23 millones de usuarios, robando más de 2.000 millones de credenciales, principalmente en sistemas Windows. Los datos robados se venden en la dark web o se utilizan para fraudes.

Cómo identificar CAPTCHAs fraudulentos

Hay diversas señales de advertencia que pueden servir para reconocer CAPTCHAs fraudulentos antes de que ocurra una infección. Los expertos de ESET resaltan algunas directrices fundamentales para reducir los riesgos.

Desconfía de cualquier CAPTCHA que requiera la ejecución de comandos avanzados, la copia de instrucciones en consolas, o que pida descargar o instalar software adicional.

Desconfía si encuentras un CAPTCHA en páginas donde normalmente no se realizan verificaciones, especialmente si aparece de forma sorpresiva.

Evitar clics impulsivos motivados por impaciencia o el apuro por acceder al contenido; dedicar unos segundos extra para analizar la legitimidad del desafío suele marcar la diferencia.

Verifica la dirección web y el certificado de seguridad del sitio, prestando especial atención a enlaces dudosos o dominios extraños.