Los Captcha, esas pruebas que nos piden identificar semáforos o escribir letras distorsionadas para demostrar que no somos robots, se han convertido en parte rutinaria de la navegación web. Pero esa familiaridad está siendo explotada por ciberdelincuentes que han encontrado una forma ingeniosa de convertir estas pruebas en trampas para distribuir malware.
Según Malwarebytes Labs, una técnica conocida como ClickFix está ganando terreno entre los atacantes. Esta táctica de ingeniería social utiliza Captcha falsos para engañar a los usuarios y hacer que ejecuten comandos maliciosos en sus dispositivos.
El truco es simple pero efectivo: al intentar acceder a contenido popular o tras hacer clic en un enlace de phishing, el usuario se encuentra con una ventana emergente que simula ser un Captcha legítimo. Al seguir las instrucciones —que pueden incluir copiar y pegar comandos en la ventana ‘Ejecutar’ de Windows— el usuario, sin saberlo, instala malware en su sistema.
TE PUEDE INTERESAR: BeyondTrust lanza evaluación gratuita para detectar riesgos de identidad con IA
Los Captcha pueden propagar malware
- Este tipo de ataques ha sido utilizado para distribuir herramientas de acceso remoto (RAT), keyloggers y ladrones de información como Lumma Stealer o Vidar Stealer.
- En algunos casos, los atacantes han suplantado sitios como Booking.com para parecer más creíbles.
- Incluso se han detectado campañas en TikTok con videos generados por inteligencia artificial que inducen a los usuarios a ejecutar comandos maliciosos.
- Lo más preocupante es que esta técnica no se limita a usuarios de Windows.
- Investigadores han identificado variantes que instalan Atomic macOS Stealer en dispositivos Apple, lo que demuestra que la amenaza es multiplataforma.
Cómo protegerse de los Captcha falsos
- Los expertos recomiendan desconfiar de cualquier Captcha que solicite acciones inusuales, como ejecutar comandos o instalar software.
- Un Captcha legítimo nunca pedirá que abras la consola de comandos ni que pegues instrucciones en tu sistema.
- Otras recomendaciones son:
- Evitar hacer clic en enlaces sospechosos o provenientes de correos electrónicos no verificados.
- Desactivar JavaScript al navegar por sitios desconocidos, ya que muchos de estos ataques dependen de scripts maliciosos para acceder al portapapeles del usuario.
- Mantener actualizado el software antivirus y realizar análisis periódicos del sistema.
- Activar la autenticación en dos pasos en todas las cuentas posibles, para mitigar el impacto si tus credenciales son robadas.
Foto: Archivos FOLOU.