Las verificaciones CAPTCHA han sido una herramienta esencial para distinguir entre usuarios reales y bots automatizados. Pero recientemente esta medida de seguridad se ha convertido en un nuevo escenario de ataque para los ciberdelincuentes.
A través de versiones falsas de estos sistemas, los atacantes están llevando a cabo estafas que exponen a miles de personas al robo de información sensible, como contraseñas, criptomonedas y datos personales.
Cómo funcionan las estafas Captcha o la pregunta ‘No soy un robot’
Los ataques a través de CAPTCHA falsos se han sofisticado en los últimos meses. Según la empresa de ciberseguridad Kaspersky, los delincuentes emplean anuncios web engañosos e invisibles que redirigen a los usuarios a páginas fraudulentas. Estas páginas pueden presentar verificaciones falsas o incluso mensajes de error que imitan los del navegador Chrome.
El proceso funciona de la siguiente manera: una vez en la página falsa, se solicita al usuario que copie un comando de PowerShell, una herramienta del sistema operativo Windows, en el portapapeles de su computadora.
Luego, se instruye a la víctima para pegar y ejecutar este comando, lo que activa la descarga de un malware sin que el usuario note algo sospechoso. Este software malicioso tiene la capacidad de buscar archivos relacionados con criptomonedas, cookies de navegación y credenciales de inicio de sesión.
El propósito principal del malware descargado es el robo de datos sensibles, como contraseñas almacenadas en navegadores, claves de criptomonedas y cookies. En algunos casos, este software también visita páginas de comercio electrónico para aumentar artificialmente su tráfico, generando ingresos adicionales para los atacantes.
En esta ola de ataques, los ciberdelincuentes han utilizado dos tipos principales de malware. Ambos troyanos representan una amenaza grande, ya que los datos robados pueden ser vendidos en el mercado negro o utilizados para realizar transferencias financieras fraudulentas.
Entre septiembre y octubre de 2024 esta nueva modalidad de esta registró más de 140.000 interacciones con anuncios maliciosos relacionados con estas estafas, afectando a más de 20.000 usuarios en países como España, Brasil, Italia y Rusia.
La naturaleza global de internet y la amplia red de distribución utilizada por los ciberdelincuentes dificultan la detección y contención de estas amenazas. De hecho, los atacantes han ampliado su red de víctimas al incluir portales de apuestas, comunidades de anime, servicios de intercambio de archivos y páginas de contenido para adultos, además de los jugadores en línea, que inicialmente eran su principal objetivo.
Por qué los CAPTCHA falsos son tan efectivos
El éxito de estas estafas radica en la legitimidad percibida de los CAPTCHA. Estas herramientas han sido diseñadas para proteger sitios web de bots maliciosos, permitiendo la interacción solo con usuarios reales. Desde su creación en la Universidad Carnegie Mellon en los años 90, los CAPTCHA han evolucionado para incluir métodos más avanzados, como la selección de imágenes o el simple clic en el botón “No soy un robot”.
Los ciberdelincuentes se aprovechan de esta confianza al replicar estas verificaciones, creando una falsa sensación de seguridad en las víctimas. Este nivel de sofisticación, combinado con la falta de conocimientos técnicos de muchos usuarios, hace que las estafas sean increíblemente efectivas.
Cómo evitar caer en este tipo de ataque
Ante el aumento de estas amenazas, existen diferentes formas preventivas para minimizar el riesgo de caer en estas trampas:
- Evitar acciones impulsivas: si un anuncio ocupa toda la pantalla o redirige a una página desconocida, cierre la ventana de inmediato.
- No copiar ni ejecutar comandos desconocidos: nunca siga instrucciones para pegar comandos en su sistema operativo, a menos que provengan de una fuente confiable.
- Utilizar software de seguridad: instalar un antivirus robusto puede ayudar a detectar y bloquear malware antes de que se active.
- Gestión segura de contraseñas: usar un gestor de contraseñas puede proteger sus credenciales almacenándolas de forma cifrada.
- Mantenerse informado: conocer las últimas tendencias en ataques cibernéticos permite anticiparse y adoptar buenas prácticas digitales.
Últimas Noticias
Top de los juegos que no puedes perderte en PlayStation Plus
La plataforma de Sony promete horas de entretenimiento y diversión para sus usuarios
OpenAI estaría preparando el plan de suscripción mensual más barato de ChatGPT: costaría menos de 5 dólares
Este plan, denominado ChatGPT Go, ofrecería acceso a GPT-5, así como funciones ampliadas de mensajería y carga de archivos
Probamos el HONOR 400: las mejores funciones de inteligencia artificial para fotos y videos, sin pagar un peso o saber de prompting
Descubre el nuevo HONOR 400 y HONOR 400 Pro, smartphones con cámara de 200 MP y más de 40 funciones impulsadas por inteligencia artificial. Probamos imagen a video con IA, súper zoom IA, collage en movimiento y expansión de imágenes durante una experiencia exclusiva en Sint Maarten
La app que finge ser un antivirus para Android, pero en realidad es un virus
Este falso software de seguridad, distribuido fuera de la Play Store de Google, engaña a los usuarios con un supuesto análisis de amenazas para obtener permisos críticos
Bluesky, el competidor de X y Threads: cómo funciona y qué ventajas tiene
Bluesky surgió inicialmente como un proyecto conceptualizado por Jack Dorsey, exdirector ejecutivo de Twitter
