Las verificaciones Captcha han sido durante años una herramienta fundamental para distinguir entre usuarios reales y bots automatizados, garantizando la seguridad de plataformas digitales.

Sin embargo, esta medida de protección se ha convertido en un nuevo escenario de ataque para los ciberdelincuentes, quienes aprovechan versiones falsas de estos sistemas para engañar a los usuarios.

A través de estas trampas, los atacantes logran acceder a información sensible como contraseñas, datos personales y criptomonedas, exponiendo a miles de personas a ser víctimas de robo o estafas cibernéticas.

Las estafas evolucionan con rapidez y una de las que ha sido vulnerada por los delincuentes es la comprobación “No soy un robot” o Captcha, que por años ha sido un mecanismo de seguridad confiable, pero que ahora es utilizada como herramienta de engaño.

Explotan la confianza que los usuarios tienen en estos sistemas automatizados, ocultando fraudes bien orquestados detrás de una simple casilla de verificación. De esta manera, logran acceder a cuentas privadas y comprometer la seguridad digital de las personas, lo que ha comenzado a generar alarma entre expertos en ciberseguridad.

¿Cómo funciona esta estafa?

Según la empresa de ciberseguridad Kaspersky, el engaño se hace efectivo cuando el usuario accede a una página web, generalmente a través de enlaces maliciosos recibidos por correo electrónico, mensajes de texto o redes sociales.

Estas páginas suelen estar disfrazadas como sitios lícitos, ya sea plataformas de servicios, encuestas o tiendas en línea. Para completar el ingreso, se solicita al usuario realizar una verificación de Captcha del tipo ‘No soy un robot’, con verificaciones falsas o incluso mensajes de error que imitan los el navegador.

A través de estas trampas, los atacantes logran acceder a información sensible como contraseñas, datos personales y criptomonedas. | Foto: Getty Images/iStockphoto

Lo que el usuario desconoce es que, al interactuar con el Captcha falso, en realidad está permitiendo la ejecución de scripts maliciosos que pueden instalar malware en el dispositivo.

Además, la víctima puede copiar un comando de PowerShell, una herramienta del sistema operativo Windows, en el portapapeles, especialmente de las computadoras. Estos programas son capaces de robar contraseñas, registrar pulsaciones del teclado e incluso capturar información bancaria o personal.

Los ciberdelincuentes aprovechan la apariencia familiar y confiable de los Captchas, una herramienta ampliamente utilizada por sitios seguros, lo que reduce la sospecha entre las víctimas. Adicionalmente, algunos usuarios no detectan la estafa hasta que empiezan a notar actividades inusuales en sus cuentas o dispositivos.

Las estafas evolucionan con rapidez y una de las que ha sido vulnerada por los delincuentes es la comprobación “No soy un robot” o Captcha. | Foto: Imagen generada con IA: Grok

Pero, la pregunta que más se realizan los usuarios es sobre el éxito de estas estafas, lo que radica en la legitimidad percibida de los Captcha, herramientas creadas en los años noventa por la Universidad Carnegie Mellon para proteger sitios web de bots maliciosos y asegurar la interacción solo con usuarios reales.

A lo largo del tiempo, los Captcha han evolucionado, incorporando métodos más avanzados como la selección de imágenes o el simple clic en “No soy un robot”. Sin embargo, los ciberdelincuentes han encontrado la manera de explotar esta confianza al replicar estas verificaciones, generando una falsa sensación de seguridad en las víctimas.

¿Cómo protegerse de esta modalidad de estafa?

Para evitar ser víctima de esta nueva modalidad de fraude, es fundamental tomar ciertas precauciones al navegar por internet y al interactuar con sitios web desconocidos. Los expertos en ciberseguridad recomiendan:

  • Nunca acceder a enlaces provenientes de correos electrónicos, mensajes de texto o redes sociales si no reconoce al remitente. Siempre revisar la URL para confirmar que corresponde a un sitio seguro y lícito.
  • Si el Captcha solicita demasiados clics, redirigirse a páginas adicionales o pide información personal, es muy probable que sea fraudulento. Los Captcha legítimos son simples y no requieren acciones complejas.
  • Es crucial contar con un sistema operativo y un antivirus actualizados, ya que las últimas versiones de estos programas están diseñadas para detectar actividades sospechosas.
  • Evitar descargar archivos o programas sugeridos después de completar un Captcha. Esto es una señal clara de actividad maliciosa.
  • Extensiones de navegadores y programas anti-malware pueden ayudar a identificar páginas peligrosas y proteger el dispositivo del usuario.