Todos estamos acostumbrados a Captchas, esas pequeñas pruebas que te hacen elegir semáforos o escribir letras onduladas. La mayoría de la gente los ve como una leve molestia, nada más. Pero, ¿qué pasa si resolver uno condujo a malware infectando su sistema? Hay una nueva amenaza cibernética que debes conocer: estafas falsas de captcha. ¿Qué es un captcha? Captcha significa «prueba de turbación pública completamente automatizada para distinguir las computadoras y los humanos». Todo su propósito es separar a los humanos de los bots. Por lo general, los Captchas representan tareas que son simples para las personas pero difíciles para los sistemas automatizados, como hacer clic en todas las imágenes con bicicletas o ingresar texto distorsionado. Esto evita que los bots sean de spam o realicen ataques automatizados. Están en todas partes en Internet. Desafortunadamente, los delincuentes han descubierto cómo abusar de ellos por fines maliciosos, utilizando captchas falsos para entregar malware o lanzar ataques de phishing. ¿Cómo funcionan las estafas falsas de captcha? Estas estafas se aprovechan de la familiaridad de los usuarios con Captchas para engañarlos para que ejecute un código dañino. A menudo, los atacantes establecen sitios web falsos que se ven legítimos, pero en algunos casos, también logran comprometer sitios reales. Tome la estafa «ClickFix» como ejemplo. Mimia el captcha de torniquete de Cloudflare casi perfectamente, copiando su diseño e incluso el sistema único de etiquetado de solicitud. Cuando alguien llega a esta página falsa de Captcha, se les pide que marque la casilla para demostrar que son humanos, al igual que de manera normal. Pero luego viene el truco. El sitio les instruye a copiar y ejecutar lo que parece una cadena de texto aleatoria y inofensiva. En realidad, este texto es un comando oculto PowerShell. Cuando se ejecuta, descarga y ejecuta malware en la computadora de la víctima, y potencialmente cualquier red a la que esté conectada. Lo que es especialmente peligroso es que este enfoque a menudo pasa más allá de las herramientas de seguridad estándar. Los programas antivirus y antimalware están diseñados para bloquear descargas sospechosas, pero aquí, el usuario, sin saberlo, ejecuta el malware ellos mismos. ¿Cómo puede su negocio defenderse contra las estafas falsas de Captcha? Estos ataques son sofisticados, pero aún puede proteger su negocio con una combinación de tecnología, capacitación y vigilancia continua. 1. Fortalecer las defensas técnicas Aislamiento del navegador: evitar que el personal interactúe con guiones maliciosos o páginas de captcha falsas. Detección de bot y limitación de la velocidad: Proteja los portales de inicio de sesión de los ataques de fuerza bruta o de las credenciales. Autenticación multifactor (MFA): asegúrese de que incluso si se roban credenciales de inicio de sesión, los atacantes no pueden ingresar sin un segundo paso de verificación. 2. Entrene a los empleados para detectar la amenaza que el error humano sigue siendo la principal causa de violaciones de seguridad, esto también se aplica a las estafas falsas de Captcha, incluso cuando el error está cayendo por un truco. Una buena capacitación puede reducir este riesgo: mantenga sesiones regulares de seguridad de seguridad para enseñar al personal cómo reconocer las solicitudes sospechosas de Captcha, como aquellos que les piden que descarguen software o ejecuten scripts. Use simulaciones con escenarios falsos de Captcha para permitir que los empleados practiquen estafas de detectar estafas. Haga hincapié en la importancia de verificar cuidadosamente las URL y adoptar una mentalidad de «pausa y verificar» cuando algo se siente apagado. Anime al personal a informar rápidamente cualquier página cuestionable de Captcha. Establezca reglas claras: solo interactúe con Captchas en sitios verificados y de confianza y nunca ejecute el código provocado por un captcha. 3. Monitoreo continuo y mejora más allá de la capacitación, el monitoreo continuo es esencial para atrapar problemas temprano: use el monitoreo web oscuro para ver si se han filtrado credenciales de empleados o clientes. Esté atento a la actividad inusual en los sistemas de la empresa. Ejercicios de ejecución que simulan ataques de phishing basados en Captcha para probar y mejorar las defensas. 4. Asegure sus dominios asegurando sus propios dominios ayuda a evitar que los atacantes se supliquen su negocio en estafas: proteja sus dominios de correo electrónico con las políticas de DMARC, DKIM y SPF para bloquear los correos electrónicos falsificados que podrían conducir al phishing con captchas falsos. Monitoree los dominios de tipo en cuclillas que imiten de cerca los suyos y actúan para derribarlos. Asegúrese de que sus propias páginas de inicio de sesión usen sistemas de captcha robustos con una verificación adecuada de desafío-respuesta, en lugar de un clic básico para obtener captchas. Mantenerse un paso por delante de las amenazas cibernéticas con sede en Captcha están evolucionando rápidamente, y las estafas falsas de Captcha son un claro ejemplo de cómo los atacantes están mal utilizando herramientas familiares de manera nueva y peligrosa. Lo que una vez parecía una molestia inofensiva es ahora una ruta potencial para la infección por malware. Pero con las protecciones correctas en su lugar, su negocio puede mantenerse seguro. En Neuways, apoyamos a las empresas para mantenerse por delante de las amenazas emergentes a través de una combinación de soluciones de seguridad avanzadas, capacitación de concientización de usuarios y monitoreo continuo de amenazas. Ya sea que esté asegurando su entorno web, entregando simulaciones de phishing o ayudando a su personal a reconocer los signos de una estafa, estamos aquí para hacer que sus defensas cibernéticas sean más fuertes y resistentes. Si le preocupa el phishing cada vez más sofisticado o los ataques falsos de Captcha, nuestros expertos en seguridad cibernética están listos para ayudarlo a revisar su configuración actual e implementar las medidas adecuadas para proteger su negocio.