CAPTCHAs falsos: así es la estafa de la que hay que protegerse al hacer la verificación en una página

Uno de los métodos de verificación en internet es el uso de CAPTCHAs, esos cuadros que suelen pedir identificar imágenes específicas o copiar un texto distorsionado antes de acceder a un recurso online. Un sistema que también está siendo vulnerado por los ciberdelincuentes.

Los atacantes han encontrado un nuevo camino para cometer fraudes y propagar malware, aprovechando la familiaridad del usuario y su confianza en estas herramientas, que suelen ser más un beneficio para la web a visitar que para el usuario.

Los CAPTCHAs tradicionales nacieron para bloquear bots automatizados que, según datos de ESET, representan cerca del 40% del tráfico mundial en la web.

Aunque algunos bots cumplen funciones legítimas, como la indexación de buscadores, una cifra significativa es usada con fines maliciosos. Estos bots pueden lanzar ataques de denegación de servicio (DDoS), propagar discursos de odio, desestabilizar foros y redes sociales, o intentar el secuestro de cuentas personales y empresariales.

Para frenar a los bots, los sitios web incorporan desafíos como los CAPTCHAs. No obstante, la familiaridad con el proceso y la confianza generalizada en estos sistemas han creado una brecha. Los delincuentes despliegan páginas de verificación falsas, replicando a la perfección la estética y dinámica de los CAPTCHAs originales para disfrazar intentos de fraude.

Mientras el usuario piensa que está validando su identidad de forma legítima, en realidad interactúa con una trampa sofisticada.

La amenaza detrás de los CAPTCHAs falsos se materializa cuando las supuestas pruebas de verificación comienzan a pedir acciones inusuales. En vez de tareas simples, pueden solicitar que el usuario pulse combinaciones especiales de teclas en Windows, pegue comandos secretos en consolas o realice acciones específicas, como habilitar permisos, que parecen inocentes.

Estas tácticas activan utilidades legítimas del sistema —PowerShell, el comando mshta.exe, entre otras—, pero el objetivo es uno: descargar e instalar software malicioso sin que la víctima lo perciba.

De acuerdo con ESET, los incidentes vinculados a CAPTCHAs falsos persiguen, sobre todo, la instalación de infostealers. Este tipo de malware rastrea ordenadores y teléfonos móviles en busca de datos sensibles, como credenciales, nombres de usuario, fotografías, contactos y cualquier otra información privada con valor comercial.

Los datos robados se venden en la dark web o se utilizan para suplantar identidades y cometer fraudes financieros.

En lo que va de 2024, los infostealers afectaron a más de 23 millones de usuarios, robando más de 2.000 millones de credenciales. La mayoría de las infecciones se registra en sistemas Windows, por su amplia presencia mundial.

Uno de los casos más notorios fue el de Lumma Stealer, un malware que logró comprometer cerca de 10 millones de dispositivos antes de ser desmantelado mediante una operación internacional donde participó ESET. El modelo de negocio se apoyó en la modalidad “malware como servicio” (MaaS), permitiendo a otros actores integrar sus propios módulos para ampliar la escala delictiva.

Los CAPTCHAs maliciosos también instalan troyanos de acceso remoto (RAT), como AsyncRAT, capaz de dar al atacante un control casi total sobre el equipo: desde espionaje por keylogging hasta robo de archivos y manipulación de aplicaciones.

El procedimiento comienza cuando el usuario llega a una página web que simula ser legítima, presenta un CAPTCHA convincente y pide que se resuelva la verificación. No es extraño que estas páginas lleguen a través de enlaces maliciosos incluidos en correos electrónicos de phishing, mensajes directos en redes sociales o incluso SMS: el vector de entrada busca el menor nivel de sospecha posible.

En ocasiones más avanzadas, los hackers logran comprometer sitios legítimos añadiendo anuncios con código malicioso o integrando contenido fraudulento en la propia página. Así, incluso quien frecuenta portales de confianza puede verse víctima sin saberlo.

La amenaza se incrementa con el avance de la inteligencia artificial, usada para crear mensajes de engaño en varios idiomas y con un lenguaje cada vez más convincente.

Existen varias señales de alerta que pueden ayudar a identificar CAPTCHAs falsos antes de que se produzca una infección. Los especialistas de ESET destacan ciertas pautas clave para minimizar los riesgos:

• Dudar de todo CAPTCHA que solicite ejecutar comandos avanzados, pegado de instrucciones en consolas, descargas o instalaciones de software adicionales.
• Sospechar si aparece un CAPTCHA en sitios donde habitualmente no hay verificaciones, sobre todo si se presenta de manera inesperada.
• Evitar clics impulsivos motivados por impaciencia o el apuro por acceder al contenido; dedicar unos segundos extra para analizar la legitimidad del desafío suele marcar la diferencia.
• Revisar la URL y el certificado de seguridad del sitio, prestando atención a enlaces sospechosos o dominios inusuales.