Recientemente, los ciberdelincuentes comenzaron a usar CAPTCHAs falsos para propagar malware. Esto se realiza mediante técnicas de ingeniería social en las que una supuesta verificación “No soy un robot” engaña al usuario para instalar programas maliciosos.
Hay que recordar que los CAPTCHAs se popularizaron en los 2000’s para frenar a los bots. Sin embargo, ahora los ciberdelincuentes han encontrado la forma de convertirlos en una trampa para humanos desprevenidos. El reto ya no es solo “resolver” el CAPTCHA, sino identificar cuándo no es real.
Este método de verificación es uno de los más utilizados desde hace dos décadas. Según WMTips, aproximadamente el 10.1 % de todos los sitios web implementan alguna forma de CAPTCHA. También más de 15 millones de sitios web usan algún tipo de verificación como esta. Un ejemplo es reCAPTCHA que es dominante, presente en entre 4 y 22 millones de sitios (dependiendo de la metodología usada).
¿Qué es un CAPTCHA?
Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es una prueba de seguridad que distingue entre personas reales y bots automatizados. Su función es bloquear ataques como spam, creación masiva de cuentas o fraudes en formularios en línea.
En 1997, Ingenieros de AltaVista desarrollaron un sistema de texto distorsionado para impedir que bots añadieran enlaces de forma automática a su buscador. Pero fue a partir del 2000 que Investigadores de la Universidad Carnegie Mellon, liderados por Luis von Ahn, acuñaron el término “CAPTCHA”.
Unos años más tarde, en 2007, nació reCAPTCHA. Además de validar usuarios humanos, ayudaba a digitalizar libros y documentos escaneados. En 2009, Google adquirió reCAPTCHA y lo integró en sus servicios, extendiendo su uso a millones de sitios.
¿Por qué siguen siendo relevantes?
A pesar de que la inteligencia artificial y el reconocimiento de imágenes han hecho que algunos CAPTCHAs sean más fáciles de resolver por máquinas, siguen siendo un filtro útil contra:
- Creación masiva de cuentas falsas.
- Bots que intentan robar credenciales.
- Ataques de fuerza bruta o saturación de servicios.
Según Kaspersky, en 2024 el tráfico de bots maliciosos alcanzó el 27% del tráfico global, reforzando la necesidad de este tipo de barreras.
La estafa con CAPTCHAS falsos
Recientemente, los ciberdelincuentes están explotando CAPTCHAs falsos como señuelo para distribuir malwares. La técnica engaña al usuario para copiar código malicioso al portapapeles a través de una interfaz muy convincente.
- Aparece una ventana emergente o anuncio imitando un CAPTCHA legítimo.
- Al hacer clic, en lugar de verificar humanidad: Se copia automáticamente un script al portapapeles, que si se pega y ejecuta instala malware.
- Se descargan desde troyanos, infostealers, ransomware hasta mineros criptográficos.
- La técnica conocida como ClickFix es particularmente usada tanto contra Windows como macOS, desplegando peligrosos módulos como AMOS stealer
La empresa de antivirus Kaspersky reportó más de 140 000 interacciones con CAPTCHAs falsos entre septiembre y octubre de 2024. Estos redirigieron a más de 20 000 usuarios a contenido malicioso. España, junto con Brasil, Italia y Rusia, está entre los países más afectados.
Señales para detectar un CAPTCHA falso
- Aparece en un sitio donde normalmente no se requiere verificación.
- Solicita pasos inusuales como copiar/pegar comandos o habilitar permisos especiales.
- Lanza descargas automáticas después de hacer clic.
Cómo protegerte
- Verifica siempre la URL del sitio antes de interactuar con un CAPTCHA.
- Desconfía de verificaciones emergentes fuera de un proceso de registro o compra normal.
- Mantén actualizado tu navegador, sistema operativo y antivirus.
- Usa autenticación de dos factores para cuentas críticas.
- Nunca ejecutes código copiado de un sitio web desconocido.
