Cuidado con esta nueva modalidad de estafa con la verificación ‘No soy un robot’ o captcha

Las verificaciones CAPTCHA han sido una herramienta esencial para distinguir entre usuarios reales y bots automatizados. Pero recientemente esta medida de seguridad se ha convertido en un nuevo escenario de ataque para los ciberdelincuentes.

A través de versiones falsas de estos sistemas, los atacantes están llevando a cabo estafas que exponen a miles de personas al robo de información sensible, como contraseñas, criptomonedas y datos personales.

Los ataques a través de CAPTCHA falsos se han sofisticado en los últimos meses. Según la empresa de ciberseguridad Kaspersky, los delincuentes emplean anuncios web engañosos e invisibles que redirigen a los usuarios a páginas fraudulentas. Estas páginas pueden presentar verificaciones falsas o incluso mensajes de error que imitan los del navegador Chrome.

El proceso funciona de la siguiente manera: una vez en la página falsa, se solicita al usuario que copie un comando de PowerShell, una herramienta del sistema operativo Windows, en el portapapeles de su computadora.

Luego, se instruye a la víctima para pegar y ejecutar este comando, lo que activa la descarga de un malware sin que el usuario note algo sospechoso. Este software malicioso tiene la capacidad de buscar archivos relacionados con criptomonedas, cookies de navegación y credenciales de inicio de sesión.

El propósito principal del malware descargado es el robo de datos sensibles, como contraseñas almacenadas en navegadores, claves de criptomonedas y cookies. En algunos casos, este software también visita páginas de comercio electrónico para aumentar artificialmente su tráfico, generando ingresos adicionales para los atacantes.

En esta ola de ataques, los ciberdelincuentes han utilizado dos tipos principales de malware. Ambos troyanos representan una amenaza grande, ya que los datos robados pueden ser vendidos en el mercado negro o utilizados para realizar transferencias financieras fraudulentas.

Entre septiembre y octubre de 2024 esta nueva modalidad de esta registró más de 140.000 interacciones con anuncios maliciosos relacionados con estas estafas, afectando a más de 20.000 usuarios en países como España, Brasil, Italia y Rusia.

La naturaleza global de internet y la amplia red de distribución utilizada por los ciberdelincuentes dificultan la detección y contención de estas amenazas. De hecho, los atacantes han ampliado su red de víctimas al incluir portales de apuestas, comunidades de anime, servicios de intercambio de archivos y páginas de contenido para adultos, además de los jugadores en línea, que inicialmente eran su principal objetivo.

El éxito de estas estafas radica en la legitimidad percibida de los CAPTCHA. Estas herramientas han sido diseñadas para proteger sitios web de bots maliciosos, permitiendo la interacción solo con usuarios reales. Desde su creación en la Universidad Carnegie Mellon en los años 90, los CAPTCHA han evolucionado para incluir métodos más avanzados, como la selección de imágenes o el simple clic en el botón “No soy un robot”.

Los ciberdelincuentes se aprovechan de esta confianza al replicar estas verificaciones, creando una falsa sensación de seguridad en las víctimas. Este nivel de sofisticación, combinado con la falta de conocimientos técnicos de muchos usuarios, hace que las estafas sean increíblemente efectivas.

Ante el aumento de estas amenazas, existen diferentes formas preventivas para minimizar el riesgo de caer en estas trampas:

• Evitar acciones impulsivas: si un anuncio ocupa toda la pantalla o redirige a una página desconocida, cierre la ventana de inmediato.
• No copiar ni ejecutar comandos desconocidos: nunca siga instrucciones para pegar comandos en su sistema operativo, a menos que provengan de una fuente confiable.
• Utilizar software de seguridad: instalar un antivirus robusto puede ayudar a detectar y bloquear malware antes de que se active.
• Gestión segura de contraseñas: usar un gestor de contraseñas puede proteger sus credenciales almacenándolas de forma cifrada.
• Mantenerse informado: conocer las últimas tendencias en ataques cibernéticos permite anticiparse y adoptar buenas prácticas digitales.