Los delincuentes convierten el test más usado de Internet en una trampa: un solo clic y acceden a todo sobre ti

Confirmar que no somos un robot a través de clicar en una casilla, identificar bicicletas o semáforos o escribir letras distorsionadas, se ha convertido en una rutina tan habitual como abrir el correo electrónico. Los famosos Captchas, esas pruebas rápidas que son parte del día a día de millones de usuarios en Internet. Están diseñadas como una herramienta de seguridad para distinguir a humanos de bots (robots) pero en la actualidad se están convirtiendo en todo lo contrario: una puerta de entrada para los ciberdelincuentes.

Lo que antes se trataba de un pequeño obstáculo para proteger al usuario, ahora está siendo manipulado por los delincuentes informáticos para infiltrar malware en ordenadores personales. Ha surgido una nueva modalidad de fraude digital que consiste en captchas falsos insertados en páginas web comprometidas. A simple vista parecen legítimos, pero tras marcar la casilla de “No soy un robot”, el usuario cae en una trampa cuidadosamente diseñada.

Ampliar

¿Cómo funciona la estafa?

El proceso comienza con lo que parece un Captcha totalmente normal. Sin embargo, al hacer clic en la casilla, el sistema copia automáticamente un comando malicioso en el portapapeles del usuario. Acto seguido, aparece un segundo Captcha que solicita realizar una combinación de teclas: Windows+R, seguido de Ctrl+V y Enter. Lo que parece una simple secuencia técnica desencadena la ejecución del código copiado, infectando así el sistema.

Una vez ejecutado el código, se instala un malware conocido como infostealer (se introduce a través de internet para obtener de forma fraudulenta información confidencial) que puede robar credenciales, datos bancarios, claves de criptomonedas y hasta otorgar el control total del equipo al atacante. El alcance del daño puede ser devastador: desde la pérdida de acceso a servicios hasta la manipulación de grandes cantidades en sus cuentas bancarias.

Este método fue reportado por primera vez a finales de 2024 por la Oficina Federal Suiza de Ciberseguridad (BACS) pero se ha intensificado en los últimos meses. También ha advertido sobre esta cuestión la Oficina Federal de Seguridad de la Información de Alemania (BSI). La trampa es eficaz porque se aprovecha de un comportamiento automatizado: los usuarios quieren completar rápidamente la verificación para continuar navegando o trabajando.

Ampliar

¿Cómo protegerse de la estafa?

Los expertos en ciberseguridad son claros: ningún Captcha legítimo solicitará combinaciones de teclas ni ejecutará comandos. En el caso de que ocurra algo inusual tras marcar la casilla, lo mejor es cerrar de inmediato la pestaña del navegador. También resulta fundamental descargar software únicamente desde las fuentes oficiales y mantener tanto el sistema como el navegador, siempre, actualizados.

Si existen sospechas de que el equipo ha sido infectado, las medidas deben ser contundentes. Según explican desde el BACS, “si se confirma una infección, hay que reiniciar todo el sistema”. Para minimizar las pérdidas, es clave realizar con cierta frecuencia copias de seguridad que permitan restaurar los archivos importantes tras limpiar el dispositivo.

El fraude del Captcha representa una nueva vertiente de la ciberdelincuencia, donde incluso los gestos más cotidianos pueden convertirse en riesgos graves y sin ni siquiera darnos cuenta. En tiempos donde los usuarios están cada vez más expuestos, la vigilancia y la desconfianza por defecto, son las primeras líneas de defensa. Un solo clic puede bastar para entregar la vida digital a manos de un delincuente.

Ampliar

Sigue el canal de MeriStation en Twitter. Tu web de videojuegos y de entretenimiento, para conocer todas las noticias, novedades y última hora sobre el mundo del videojuego, cine, series, manga y anime. Avances, análisis, entrevistas, tráileres, gameplays, podcasts y mucho más. ¡Suscríbete! Si estás interesado en licenciar este contenido, pincha aquí.