La conocida práctica de marcar la casilla “No soy un robot” está siendo aprovechada por ciberdelincuentes como una sofisticada vía de ataque digital. En los últimos meses, expertos en ciberseguridad han detectado una ola de fraudes que imitan captchas legítimos, pero que en realidad ocultan amenazas altamente peligrosas.
¿Cómo funciona esta estafa?
-
Estas trampas comienzan con páginas web falsificadas que simulan un sistema CAPTCHA. Al hacer clic, el usuario recibe un mensaje que lo induce a ejecutar una acción técnica (como presionar Windows + R, luego Ctrl + V y finalmente Enter) para supuestamente completar la verificación. En realidad, así se activa un código malicioso que infecta el dispositivo
-
Los atacantes consiguen esto copiando un comando peligroso al portapapeles del usuario y “disfrazándolo” detrás de una interacción aparentemente rutinaria
-
Así, se instala un infostealer o malware que roba contraseñas, credenciales, datos bancarios, incluso accesos a criptomonedas
Casos y alertas recientes
-
Esta amenaza fue detectada por primera vez a fines de 2024 por la Oficina Federal Suiza de Ciberseguridad (BACS) y ha intensificado su alcance en los últimos meses.
-
La Policía Nacional de España también advirtió sobre captchas falsos que pueden instalar malware al hacer clic en ellos, comprometiendo datos personales y bancarios.
-
Además, otro tipo de estafa conocido como “ClickFix” simula mensajes de error que piden copiar y ejecutar comandos para “arreglar” un problema, lo que en realidad activa un malware .
-
Genbeta reporta que entre septiembre y octubre de 2024 se detectaron más de 140 000 interacciones con estas páginas fraudulentas, con al menos 20 000 redirecciones hacia archivos maliciosos.
Recomendaciones para protegerse
-
Desconfía de captchas inesperados: Si aparece un “No soy un robot” en páginas donde no es usual o sorprendentemente, puede ser una trampa.
-
Nunca ejecutes comandos externos: Un captcha legítimo te pedirá simplemente escribir texto o seleccionar imágenes. Si te solicita copiar-pegado o ejecutar algo, cierra la ventana de inmediato .
-
Revisa la URL y certifícala: Verifica que el sitio tenga HTTPS y corresponda al dominio correcto; los captchas falsos a menudo aparecen en URLs sospechosas o alteradas .
-
Mantén tu sistema actualizado y usa antivirus: Aunque muchas de estas trampas evaden antivirus, tener el sistema actualizado y con protección activa aumenta la defensa .
-
Activa autenticación de dos factores (2FA) siempre que sea posible, especialmente en cuentas críticas .
-
Sé cauteloso con correos o mensajes que contienen captchas: Si recibes un captcha en un correo, confírmalo con el remitente por otra vía, ya que podría tratarse de un phishing camuflado .
En resumen
Este tipo de estafa aprovecha la confianza que tenemos en los captchas como medida de seguridad. Un clic apresurado puede convertir esa confianza en una brecha de seguridad. La mejor defensa es estar alerta: verificar siempre el contexto de un captcha, nunca ejecutar acciones desconocidas y priorizar la seguridad en cada paso.
