Las verificaciones CAPTCHA han sido una herramienta esencial para distinguir entre usuarios reales y bots automatizados. Pero recientemente esta medida de seguridad se ha convertido en un nuevo escenario de ataque para los ciberdelincuentes.
A través de versiones falsas de estos sistemas, los atacantes están llevando a cabo estafas que exponen a miles de personas al robo de información sensible, como contraseñas, criptomonedas y datos personales.
Cómo funcionan las estafas Captcha o la pregunta ‘No soy un robot’
Los ataques a través de CAPTCHA falsos se han sofisticado en los últimos meses. Según la empresa de ciberseguridad Kaspersky, los delincuentes emplean anuncios web engañosos e invisibles que redirigen a los usuarios a páginas fraudulentas. Estas páginas pueden presentar verificaciones falsas o incluso mensajes de error que imitan los del navegador Chrome.
El proceso funciona de la siguiente manera: una vez en la página falsa, se solicita al usuario que copie un comando de PowerShell, una herramienta del sistema operativo Windows, en el portapapeles de su computadora.
Luego, se instruye a la víctima para pegar y ejecutar este comando, lo que activa la descarga de un malware sin que el usuario note algo sospechoso. Este software malicioso tiene la capacidad de buscar archivos relacionados con criptomonedas, cookies de navegación y credenciales de inicio de sesión.
El propósito principal del malware descargado es el robo de datos sensibles, como contraseñas almacenadas en navegadores, claves de criptomonedas y cookies. En algunos casos, este software también visita páginas de comercio electrónico para aumentar artificialmente su tráfico, generando ingresos adicionales para los atacantes.
En esta ola de ataques, los ciberdelincuentes han utilizado dos tipos principales de malware. Ambos troyanos representan una amenaza grande, ya que los datos robados pueden ser vendidos en el mercado negro o utilizados para realizar transferencias financieras fraudulentas.
Entre septiembre y octubre de 2024 esta nueva modalidad de esta registró más de 140.000 interacciones con anuncios maliciosos relacionados con estas estafas, afectando a más de 20.000 usuarios en países como España, Brasil, Italia y Rusia.
La naturaleza global de internet y la amplia red de distribución utilizada por los ciberdelincuentes dificultan la detección y contención de estas amenazas. De hecho, los atacantes han ampliado su red de víctimas al incluir portales de apuestas, comunidades de anime, servicios de intercambio de archivos y páginas de contenido para adultos, además de los jugadores en línea, que inicialmente eran su principal objetivo.
Por qué los CAPTCHA falsos son tan efectivos
El éxito de estas estafas radica en la legitimidad percibida de los CAPTCHA. Estas herramientas han sido diseñadas para proteger sitios web de bots maliciosos, permitiendo la interacción solo con usuarios reales. Desde su creación en la Universidad Carnegie Mellon en los años 90, los CAPTCHA han evolucionado para incluir métodos más avanzados, como la selección de imágenes o el simple clic en el botón “No soy un robot”.
Los ciberdelincuentes se aprovechan de esta confianza al replicar estas verificaciones, creando una falsa sensación de seguridad en las víctimas. Este nivel de sofisticación, combinado con la falta de conocimientos técnicos de muchos usuarios, hace que las estafas sean increíblemente efectivas.
Cómo evitar caer en este tipo de ataque
Ante el aumento de estas amenazas, existen diferentes formas preventivas para minimizar el riesgo de caer en estas trampas:
- Evitar acciones impulsivas: si un anuncio ocupa toda la pantalla o redirige a una página desconocida, cierre la ventana de inmediato.
- No copiar ni ejecutar comandos desconocidos: nunca siga instrucciones para pegar comandos en su sistema operativo, a menos que provengan de una fuente confiable.
- Utilizar software de seguridad: instalar un antivirus robusto puede ayudar a detectar y bloquear malware antes de que se active.
- Gestión segura de contraseñas: usar un gestor de contraseñas puede proteger sus credenciales almacenándolas de forma cifrada.
- Mantenerse informado: conocer las últimas tendencias en ataques cibernéticos permite anticiparse y adoptar buenas prácticas digitales.
Últimas Noticias
Microsoft Copilot llega a televisores LG y no se puede eliminar
Diversos usuarios han reportado la súbita aparición del ícono de asistente inteligente tras la última actualización del sistema
Dell y Lenovo evalúan volver a 8 GB de RAM en laptops de gama media
El aumento en el costo de la memoria DDR5 también afecta al segmento premium de computadoras portátiles
Cambió la forma de hacer compras en internet, ahora usan apps como Instagram para ahorrar en Navidad
Diferentes generaciones enfrentan la Navidad con estrategias de compra renovadas: boomers optan por la calidad, millennials prefieren experiencias y la Generación Z experimenta frustración digital
Recibí un código de verificación que no había solicitado, WhatsApp revela qué hacer para evitar estafas
Compartir este número por error o engaño permite que otra persona suplante la identidad digital, al tener en su poder datos personales como contactos, fotos y archivos sensibles
Perder el trabajo de tus sueños por mala conexión a internet o PC, es una realidad: las videollamadas son el riesgo
Un estudio reveló que una simple congelación de imagen o un corte de audio puede reducir las posibilidades de conseguir la libertad condicional o la acceder a un empleo
