Nueva estafa con CAPTCHA falso: Aprende a detectarla y a mantenerte seguro

Una herramienta de seguridad en línea ampliamente reconocida -el CAPTCHA- está siendo explotada por ciberdelincuentes para robar contraseñas, datos bancarios e información personal de usuarios desprevenidos, según alertó el Centro de Recursos contra el Robo de Identidad (ITRC, por sus siglas en inglés), en un reportaje de Telemundo.

Los CAPTCHA legítimos, como el conocido recuadro "No soy un robot" o los puzzles de selección de imágenes, fueron diseñados para distinguir usuarios humanos de programas automatizados. Sin embargo, los criminales ahora crean páginas falsas que imitan a la perfección estas verificaciones para engañar a sus víctimas.

La señal de alerta más importante es un mensaje de error que instruye al usuario a presionar una secuencia de teclas para continuar. Los expertos advierten que esto debe generar alarma inmediata: si ocurre, hay que detenerse y no seguir ninguna instrucción de la página.

La técnica más extendida se conoce como "ClickFix": al hacer clic en el falso CAPTCHA, un script de JavaScript copia automáticamente un comando malicioso al portapapeles del usuario. Luego, la página indica abrir el cuadro de diálogo "Ejecutar" de Windows con las teclas Win+R, pegar el contenido con Ctrl+V y presionar Enter, lo que ejecuta el código sin que la víctima sospeche nada.

Este método instala softwares maliciosos, que no son más que programas diseñados para infiltrarse, dañar, robar información o interrumpir sistemas informáticos.

Según el ITRC, con un falso CAPTCHA el programa malicioso que se introduce puede buscar contraseñas guardadas en navegadores, recopilar cookies de sesión activas, capturar pantallas y reunir detalles del dispositivo infectado, además de extraer datos de tarjetas de crédito y billeteras de criptomonedas.

Hasta ahora el virus más reportado es "StealC", que opera como un servicio criminal disponible para cualquier delincuente que lo "alquile". Su modelo de infección es rápido: extrae los datos en segundos y los envía cifrados a servidores controlados por los atacantes. Los datos robados luego se venden en mercados de Internet oscuro o en canales de Telegram.

Estas campañas están activas desde 2024, se intensificaron en 2025 y continúan en 2026, afectando a usuarios de Windows, macOS y Android.

En Latinoamérica, las detecciones aumentaron un 40 % según inteligencia de amenazas de Kaspersky, con campañas en español propagadas vía WhatsApp, Telegram y anuncios maliciosos.

Los CAPTCHA falsos llegan a través de correos de suplantación de identidad, sitios web comprometidos, anuncios maliciosos, sitios de transmisión pirata y redes sociales. Un CAPTCHA real nunca pide descargar archivos, ejecutar comandos ni ingresar datos personales: esa es la diferencia fundamental.

Si alguien encuentra una página CAPTCHA sospechosa, los expertos recomiendan cerrar la pestaña de inmediato y navegar directamente al sitio deseado escribiendo la dirección en el navegador, en lugar de hacer clic en enlaces. También aconsejan usar llaves de acceso y habilitar la autenticación multifactor siempre que sea posible.

Para quienes crean haber descargado ya un programa malicioso, los pasos son claros: desconectarse de Internet apagando el Wi-Fi o desenchufando el cable de red, cambiar las contraseñas desde otro dispositivo, ejecutar un análisis completo con un antivirus de confianza y monitorear de cerca las cuentas financieras.

Verificar y bloquear los reportes de crédito de forma regular también ayuda a detectar un posible robo de identidad a tiempo y limitar los daños si la información personal resulta comprometida.