Las autoridades de ciberseguridad, incluidas la FTC (Comisión Federal de Comercio) y diversos organismos de policía cibernética, han emitido alertas urgentes sobre una modalidad de fraude que utiliza CAPTCHAs falsos para infectar dispositivos.
A diferencia de las verificaciones legítimas que solo buscan comprobar que eres humano, estos engaños manipulan al usuario mediante ingeniería social para que comprometa su propio sistema.
El método de engaño: ¿Cómo funciona?
Esta estafa se aprovecha de la costumbre. Estamos tan habituados a marcar la casilla de «No soy un robot» que bajamos la guardia. Los ciberdelincuentes clonan a la perfección la interfaz visual de herramientas conocidas (como reCAPTCHA de Google), pero añaden una serie de pasos adicionales y peligrosos.
- Acceso al sitio web: El usuario llega a una página fraudulenta a través de un enlace de phishing, un anuncio malicioso o un sitio web previamente hackeado.
- Falsa verificación humana: Aparece una pantalla emergente o un cuadro de diálogo idéntico a un CAPTCHA, pero alega que el navegador «necesita una verificación adicional» para cargar el contenido.
- Instrucciones maliciosas (El gancho): La página copia de forma automática un código malicioso en el portapapeles del usuario y le muestra instrucciones explícitas en pantalla, pidiéndole presionar la combinación de teclas Windows + R (para abrir la ventana «Ejecutar»), pegar el contenido con Ctrl + V y presionar Enter.
- Infección invisible Al ejecutar el comando, se activan herramientas nativas del sistema (como PowerShell) que descargan un virus del tipo infostealer (como Lumma Stealer). El malware se ejecuta directamente en la memoria del dispositivo, evadiendo algunos antivirus tradicionales, y procede a extraer contraseñas guardadas, cookies de sesión y datos bancarios.
Señales de alerta para detectarlo a tiempo
Un CAPTCHA legítimo se ejecuta estrictamente dentro del entorno del navegador y jamás requiere interactuar con el sistema operativo. Presta atención a las siguientes señales:
- Te pide usar comandos del teclado: Si un sitio te exige presionar combinaciones de teclas externas a la página web (como
Win + R) o abrir la terminal de comandos, es 100% una estafa. - Solicita descargas o extensiones: Los sistemas de verificación reales jamás te pedirán instalar complementos, descargar archivos
.zipo.exe, ni habilitar notificaciones push sospechosas. - Redirecciones a apps externas: Campañas recientes dirigen al usuario a su aplicación de llamadas o mensajes, preconfigurando el envío de SMS internacionales premium de costo elevado. Un CAPTCHA real nunca abrirá la app de mensajes de tu dispositivo.
- Dominios e URLs sospechosas: Revisa siempre la barra de direcciones. Las estafas suelen hospedarse en dominios extraños llenos de letras y números sin sentido, alejados del sitio original al que pretendías ingresar.
¿Qué hacer si ya interactuaste con uno?
Si por error seguiste las instrucciones o descargaste el archivo sugerido, actúa con rapidez para minimizar el impacto:
- Desconecta el equipo de internet: Corta la conexión Wi-Fi o desconecta el cable de red de inmediato. Esto detiene la comunicación del malware con el servidor del atacante y frena la fuga de datos.
- Ejecuta un análisis profundo: Conéctate únicamente para actualizar tu herramienta antimalware (como Windows Defender o Malwarebytes) y realiza un escaneo completo del sistema para localizar y eliminar los scripts residuales.
- Cambia tus credenciales (Desde otro dispositivo): El malware ataca las contraseñas almacenadas en el navegador. Utiliza un dispositivo limpio (como tu teléfono celular con datos móviles) para cambiar las claves de tus cuentas prioritarias: banca, correos electrónicos y redes sociales.
- Cierra sesiones activas: En la configuración de tus cuentas principales, selecciona la opción «Cerrar sesión en todos los dispositivos» para invalidar cualquier cookie de sesión que los delincuentes hayan alcanzado a clonar.
Imagen: ElHispanoParaTodos/PRESS
