En el panorama digital actual, los bots desempeñan un papel cada vez más relevante, ya sea con fines legítimos como los rastreadores de Google, o con propósitos maliciosos como la difusión de discursos polarizantes o ataques DDoS. Para hacer frente a estas amenazas, los sitios web recurren a los CAPTCHAs, esos desafíos que nos piden identificar imágenes o transcribir texto distorsionado.
Sin embargo, ESET, experta en detección proactiva de amenazas, advierte que los CAPTCHAs también pueden ser utilizados por los ciberdelincuentes para propagar malware. Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, «cuando nos enfrentamos a un CAPTCHA, solemos seguir las instrucciones sin cuestionarlas demasiado, confiando en que es una forma legítima de mantener la seguridad. Pero en algunos casos, la propia página es falsa y puede meternos en problemas».
Estas amenazas que utilizan CAPTCHAs ocultan sus acciones maliciosas, tanto para el usuario como para el software de seguridad, empleando herramientas legítimas de Windows para pasar desapercibidas. Algunas de las tácticas que utilizan incluyen:
- Solicitar que se haga clic en un enlace malicioso o se ejecuten comandos específicos, como presionar la tecla de Windows + R para abrir el comando «Ejecutar».
- Pedir que se pegue un comando copiado previamente en el portapapeles, que activará herramientas como PowerShell o mshta.exe para descargar archivos maliciosos.
El objetivo final suele ser instalar un infostealer, un tipo de malware diseñado para robar información confidencial como nombres de usuario, contraseñas, fotos y contactos, que luego se venden en la web oscura o se utilizan para suplantar identidades. Además, los CAPTCHAs falsos también pueden instalar troyanos de acceso remoto (RAT), que permiten el espionaje y el control remoto del dispositivo.
Cómo evitar caer en la trampa
Para protegerte de los CAPTCHAs maliciosos, ESET recomienda:
- Desconfiar de solicitudes CAPTCHA inusuales, como las que piden ejecutar comandos.
- Mantener el sistema operativo y el navegador siempre actualizados.
- Instalar y mantener actualizado un software de seguridad fiable.
- Evitar descargar software pirata, que a menudo se utiliza para distribuir malware.
- Considerar el uso de un bloqueador de anuncios para evitar contenido potencialmente malicioso.
Si caes en la trampa de un CAPTCHA falso, es esencial actuar rápidamente para minimizar los daños. Realiza un análisis completo con un software de seguridad, restaura el dispositivo a los valores de fábrica y cambia todas tus contraseñas, activando la autenticación de doble factor siempre que sea posible.
Recuerda, mantenerse alerta y navegar con seguridad es clave para evitar ser engañado por estos falsos verificadores disfrazados de CAPTCHAs legítimos.
