iProUP accedió a un informe de ESET que revela cómo los ciberdelincuentes usan páginas de verificación falsas para instalar malware y robar datos.
08.08.2025 • 09:25hs • CAPTCHA truchos
CAPTCHA truchos
Cuidado con los CAPTCHA falsos: así roban contraseñas y hackean dispositivos
:quality(75):max_bytes(102400)/https://assets.iproup.com/assets/jpg/2025/08/43768.jpg)
Los CAPTCHA se convirtieron en una herramienta cotidiana para confirmar que un usuario es humano y frenar la actividad de bots en Internet. Sin embargo, esta tecnología también es utilizada por ciberdelincuentes para propagar malware y robar información personal mediante páginas de verificación falsas.
Según datos revelados por la compañía ESET, cerca del 40% de los bots que circulan por la red son maliciosos y pueden participar en campañas de desinformación, ataques distribuidos de denegación de servicio (DDoS) o robo de cuentas. Aunque los CAPTCHA fueron diseñados para frenar estos ataques, no siempre garantizan seguridad.
"En algunos casos, la propia página es falsa y puede meterte en problemas", alertó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Cómo operan los CAPTCHA falsos
Estas amenazas aprovechan la familiaridad del usuario con el proceso de verificación, la confianza que generan los CAPTCHA legítimos y la impaciencia por acceder al contenido.
Los engaños pueden llegar a través de links en correos de phishing, SMS o mensajes en redes sociales. Otra modalidad es comprometer un sitio web legítimo e insertar anuncios o contenido malicioso, incluso sin que el usuario haga clic.
El auge de la inteligencia artificial potencia estos ataques, ya que permite a los estafadores generar mensajes convincentes en múltiples idiomas y escalar las campañas.
En lugar de pedir resolver un rompecabezas visual o escribir un texto distorsionado, los falsos CAPTCHA solicitan acciones como:
- Hacer clic para "verificar que eres humano"
- Ejecutar comandos con Windows + R
- Pegar códigos desde el portapapeles y presionar ENTER
Estas instrucciones pueden activar herramientas legítimas de Windows como PowerShell o mshta.exe para descargar malware adicional.
Malware más común
Uno de los principales riesgos es la instalación de infostealers, programas que roban credenciales, fotos, contactos y otros datos que luego se venden en la dark web.
En 2024, al menos 23 millones de personas fueron víctimas de estas amenazas, con más de 2.000 millones de credenciales robadas. Entre los casos más relevantes, el malware Lumma Stealer comprometió 10 millones de dispositivos antes de ser desmantelado en una operación internacional con participación de ESET.
Otra amenaza frecuente son los troyanos de acceso remoto (RAT), como AsyncRAT, presentes en el 4% de los incidentes registrados el año pasado, que permiten a los atacantes controlar dispositivos a distancia.
Cómo prevenir la infección
- Desconfiar de CAPTCHA con pedidos inusuales
- Evitar verificaciones que aparezcan en sitios que no suelen solicitarlas
- Mantener actualizado el sistema operativo, el navegador y el antivirus
- Usar bloqueadores de anuncios y evitar software pirata
"Caer en la trampa de un CAPTCHA falso no es el fin del mundo. Pero si ocurre, es esencial actuar con rapidez para minimizar los daños", señaló Gutiérrez Amaya.
En caso de ejecutar comandos maliciosos, la empresa sugiere escanear el dispositivo con un antivirus confiable, desconectarlo de Internet, restaurarlo a valores de fábrica, cambiar contraseñas y activar la autenticación de doble factor.
