El CAPTCHA falso: cómo una pantalla de verificación puede vaciar tu dispositivo de información

La Policía Cibernética de la Secretaría de Seguridad Ciudadana de la Ciudad de México (SSC-CDMX) emitió este jueves una alerta sobre el CAPTCHA falso, una modalidad de ataque que disfraza software malicioso como un paso rutinario de verificación en línea. La amenaza combina ingeniería social con malware para comprometer los dispositivos de quienes la ejecutan sin saberlo.

El mecanismo opera bajo una premisa sencilla: el usuario ve una pantalla que imita a la perfección un sistema de verificación legítimo. La página le pide que “demuestre que no es un robot”, pero en lugar de seleccionar imágenes o marcar una casilla, le ordena copiar y ejecutar un código en su propio equipo.

Para evitar este tipo de prácticas, aqufraudeí te compartimos cómo identificarlas.

¿Cómo opera el engaño?

La dependencia capitalina detalló que los atacantes construyen páginas o ventanas emergentes que replican la apariencia de un CAPTCHA real. Esas interfaces se presentan como un requisito obligatorio para continuar la navegación, lo que genera en la víctima la sensación de estar ante un trámite normal.

El código que el usuario copia queda camuflado como un “paso adicional de seguridad”. Al ejecutarlo, activa un mecanismo oculto que instala software malicioso en el sistema sin que la persona lo advierta.

El papel de la confianza como vector de ataque

La SSC-CDMX subrayó que el éxito de este esquema depende de la familiaridad que los usuarios tienen con los CAPTCHA legítimos. Esa confianza acumulada en años de uso cotidiano es precisamente lo que los atacantes explotan para reducir la desconfianza de sus víctimas.

Una vez que el malware se instala, el atacante puede sustraer información sensible del dispositivo o tomar el control total del equipo. Las consecuencias van desde el robo de contraseñas y datos personales hasta la pérdida completa del acceso al sistema.

Señales de alerta que los usuarios deben identificar

La Policía Cibernética identificó como señal de alerta cualquier sitio que solicite acciones inusuales para validar la identidad del usuario. Copiar comandos, abrir el cuadro de ejecución de Windows o pegar instrucciones en una terminal son peticiones que ningún sistema de verificación legítimo realiza.

Las páginas de origen desconocido que solicitan contraseñas, credenciales o datos personales como parte del proceso de “verificación” representan otra señal inequívoca de fraude. La autenticidad del sitio debe verificarse antes de cualquier interacción.

Recomendaciones de la SSC para navegar con seguridad

La unidad especializada instruyó a los usuarios a no copiar ni ejecutar códigos, comandos o instrucciones provenientes de ventanas emergentes o fuentes no verificadas. Esa acción, por sencilla que parezca, es el punto de entrada que el atacante necesita para comprometer el dispositivo.

Mantener actualizado el sistema operativo, el navegador y el software de seguridad reduce la superficie de exposición ante este tipo de ataques. Descargar o ejecutar archivos de enlaces sospechosos amplía esa superficie de forma innecesaria.

El rol de la educación digital en la prevención

La SSC señaló que la educación y la prevención digital son herramientas centrales para reducir el riesgo de caer en esta modalidad. Un usuario que conoce cómo funciona el engaño tiene menos probabilidades de ejecutar el código que activa el malware.

Reportar cualquier actividad sospechosa ante las autoridades o las unidades de policía cibernética contribuye a que las instituciones puedan mapear y neutralizar estas campañas. Cada reporte amplía el conocimiento colectivo sobre las tácticas que los atacantes utilizan.

Cómo contactar a la Policía Cibernética

La SSC-CDMX puso a disposición de los usuarios el teléfono 55 5242 5100, extensión 5086, para reportar incidentes o resolver dudas relacionadas con amenazas en el ciberespacio. El correo electrónico policia.cibernetica@ssc.cdmx.gob.mx también recibe reportes de actividad sospechosa.

Las cuentas oficiales @SSC_CDMX y @UCS_GCDMX en redes sociales funcionan como canales adicionales de contacto y difusión de alertas. La dependencia reiteró su disposición para apoyar a los ciudadanos en el mantenimiento de un entorno digital seguro.