Antes de apresurarse a demostrar que no eres un robot, ten cuidado con las páginas de verificación humana engañosas como un vector cada vez más popular para entregar malware 24 de julio de 2025 •, 4 min. Los bots de lectura tienen mucho para responder. Ahora constituyen más de la mitad de todo el tráfico de Internet, y aunque algunos, como los rastreadores web y los buscadores de Google, tienen propósitos legítimos, casi dos quintos se consideran maliciosos. Su poder se puede aprovechar para todo, desde publicar publicaciones en las redes sociales inflamatorias hasta el lanzamiento de ataques distribuidos de denegación de servicio y secuestro de cuentas en línea utilizando, por ejemplo, contraseñas previamente violadas. Entonces, cuando se nos presentan lo que se conoce como un desafío Captcha, que los sitios web usan comúnmente para disuadir a los bots, muchos de nosotros seguimos las instrucciones y hacemos clic. Todo lo mejor para mantener los bots fuera, ¿verdad? Bueno, no siempre. A veces, la página en sí es falsa y podría aterrizarte en problemas profundos. Este podría, por ejemplo, ser el caso con ClickFix, una técnica de ingeniería social que ha tomado el panorama de amenazas por asalto recientemente. Utilizando imágenes falsas de Captcha, ClickFix difunde todo tipo de amenazas, incluidos infantes de infantes, ransomware, troyanos de acceso remoto, criptominadores e incluso malware de actores de amenazas alineados en estado-nación. Por qué las amenazas de Captcha Amenazing Works funcionan por varias razones: explota nuestra familiaridad con el proceso y nuestra confianza en Captcha como una forma de mantener el mundo digital seguro y seguro. También explota el hecho de que muchos de nosotros somos impacientes cuando estamos navegando: solo queremos acceder al contenido por el que vinimos y Captcha está a nuestro camino, por lo tanto, es más probable que hagamos lo que dice. Aprovecha el hecho de que estamos acostumbrados a hacer clic a través de múltiples pasos para verificarnos en línea; Por ejemplo, al pagar en línea. Nos oculta la actividad maliciosa de nosotros y nuestro software de seguridad, y utiliza herramientas legítimas de Windows para mantenerse bajo el radar. ¿Cómo son las amenazas de Captcha? Hay varias formas en que puede estar expuesto a una captcha maliciosa. Puede ser que se trate de hacer clic en un enlace malicioso en un correo electrónico de phishing, texto o mensaje de redes sociales. Gracias a la IA, esta amenaza está creciendo. La IA generativa está ayudando a los actores de amenaza a escalar ataques de ingeniería social al tiempo que mejora la calidad del idioma a casi perfecto, en múltiples idiomas a la vez. Alternativamente, puede visitar un sitio aleatorio y legítimo en el que los piratas informáticos han inyectado anuncios maliciosos u otro contenido. Estos son particularmente peligrosos ya que no se requiere interacción de usuario para la descarga. Y es posible que no te des cuenta de que algo desagradable ha sucedido hasta que sea demasiado tarde. Ejemplo de una verificación falsa de recaptcha (Fuente: Informe de amenaza de ESET H1 2025) Cuando aparezca la caja Captcha, se verá lo suficientemente legítima. Pero lo que le pide que haga debe hacer sonar las alarmas. En lugar de la tarea CaptCha habitual, como identificar imágenes similares o un texto de escritura que se ha ofuscado de alguna manera, le pedirá que realice comandos específicos como: Haga clic para verificar que es una tecla de Windows de Presionación humana + R para abrir «ejecutando» presionando Ctrl + V para pegar un comando secretamente copiado en el clip de Malware. Para descargar cargas útiles maliciosas adicionales de un servidor externo. El objetivo final suele ser instalar malware InfoTealer en su dispositivo. Los infostadores están diseñados para recorrer la computadora o el teléfono móvil para inicios de sesión, fotos, contactos y otros datos confidenciales para vender en la web oscura y/o usar para cometer fraude de identidad. Se dirigen a los navegadores, los clientes de correo electrónico, las billeteras criptográficas, las aplicaciones y los sistemas operativos en sí para hacerlo, tomando capturas de pantalla, keylogging y recolectando datos de otras maneras. Según un estudio, hubo al menos 23 millones de víctimas de infadores en 2024, la mayoría de las cuales eran sistemas de Windows. Se las arreglaron para robar más de dos mil millones de credenciales de víctimas. Una de las cepas más populares de malware de infancia, Lumma Stealer, comprometió hasta 10 millones de dispositivos antes de un esfuerzo internacional, que también involucró a ESET, interrumpió esta prolífica amenaza de malware como servicio (MAAS). Una amenaza de Captcha también podría instalar un troyano de acceso remoto (rata), otro tipo de malware, pero este tiempo diseñado para proporcionar acceso remoto a su máquina. Según un estudio, se observó Asyncrat en el 4% de los incidentes durante 2024. Esta rata ha estado operativa desde 2019 y lleva a cabo actividades que incluyen robo de datos y keylogging. Mantenerse a salvo de las amenazas de Captcha para mantenerse a salvo de los infantes de infantes, ratas y otros desagradables, considere lo siguiente: Manténgase alerta a las solicitudes inusuales de Captcha como las que se mencionan anteriormente. Tenga cuidado con cualquier desafío de Captcha que parece aparecer de la nada. Mantenga actualizado su sistema operativo y navegador actualizado para minimizar el riesgo de explotar las vulnerabilidades en versiones anteriores. Instale el software de seguridad desde un proveedor de buena reputación y mantenlo actualizado. Esto contribuirá en gran medida a bloquear cualquier malware o actividad sospechosa. No descargue el software pirateado, ya que esto podría contener malware del tipo que ofrece captchas falsos. Considere usar un bloqueador de anuncios, lo que le impediría estar expuesto a cualquier contenido entregado a través de un anuncio en línea malicioso. ¿Qué sucede si se enamora de un captcha falso si lo peor sucede y ejecuta sin saberlo los comandos ocultos descritos anteriormente? Ejecute un escaneo de malware para encontrar y, con suerte, purga la máquina de cualquier malware que pueda haber sido descargado encubierta. Desconecte de Internet y haga una copia de seguridad de cualquier foto y/o archivos importantes. Realice un reinicio de fábrica en su computadora o dispositivo. Cambie todas sus contraseñas, utilizando credenciales fuertes y únicas almacenadas en un administrador de contraseñas. Encienda la autenticación de factores múltiples (MFA) para todas las cuentas, de modo que incluso si un hacker ha robado sus contraseñas, no puede acceder a sus cuentas. Se enamora de una amenaza del Captcha no es el fin del mundo. Pero vale la pena actuar rápido si te encuentras en el peor de los casos. Estar a salvo afuera.