CAPTCHAs falsos: la trampa que parece inofensiva… hasta que ya es tarde

Seguro te ha pasado: estás navegando tranquilo, aparece un CAPTCHA y, casi sin pensarlo, haces clic para “demostrar que no eres un robot”. Es un gesto automático, casi mecánico. Pero lo que muchos no saben es que, en algunos casos, ese simple clic puede abrirle la puerta a un malware silencioso y persistente.

Cuando el guardián se convierte en impostor

Los CAPTCHAs nacieron para frenar bots y protegernos, pero el panorama ha cambiado. Hoy, cerca del 40% del tráfico automatizado es malicioso. Y es que los ciberdelincuentes han aprendido a disfrazar sus trampas con la misma apariencia que esos test legítimos que llevamos años viendo.

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, lo explica con claridad:

“En algunos casos, la propia página es falsa y puede meterte en problemas.”

La clave está en que estos falsos verificadores no siempre te piden seleccionar semáforos o escribir letras distorsionadas. A veces te solicitan algo tan extraño como pulsar Windows + R, pegar un comando que ni siquiera viste copiarse, o presionar Enter para “confirmar” que eres humano. Lo que parece un paso más de validación en realidad activa herramientas de Windows —como PowerShell o mshta.exe— que descargan malware sin que te des cuenta.

Lo que viene oculto detrás del clic

Ese malware no es cualquier bicho digital. Hablamos de infostealers, programas diseñados para hurgar en tu dispositivo y llevarse credenciales, fotos, contactos e incluso claves de criptomonedas. También están los RAT (troyanos de acceso remoto), que permiten a un atacante espiar tu actividad, registrar cada tecla que presionas y hasta tomar control de tu equipo.

Para que te hagas una idea, en 2024 más de 23 millones de personas fueron víctimas de infostealers. Solo una de estas piezas, Lumma Stealer, comprometió 10 millones de dispositivos antes de ser desmantelada.

El papel de la inteligencia artificial en esta amenaza

La IA ha sido un acelerador. Gracias a ella, los mensajes de phishing ya no tienen errores ortográficos ni frases torpes; ahora son fluidos, creíbles y en varios idiomas a la vez. Y cuando esa comunicación refinada se combina con sitios legítimos comprometidos —que cargan anuncios maliciosos o contenido falso— el peligro crece. En algunos casos, ni siquiera hace falta que hagas clic: la descarga del malware ocurre en segundo plano.

Cómo evitar caer en el engaño

ESET recomienda prestar atención a señales de alerta y tomar medidas preventivas:

• Desconfía de CAPTCHAs que pidan ejecutar comandos.
• Si aparecen en páginas que normalmente no los usan, sospecha.
• Mantén tu sistema y navegador actualizados.
• Usa software de seguridad de confianza, siempre al día.
• Evita descargar programas pirata.
• Considera instalar un bloqueador de anuncios para reducir riesgos.

Y si ya caíste en la trampa, no entres en pánico, pero actúa rápido: desconecta tu equipo de Internet, haz una copia de seguridad, pasa un análisis completo con tu antivirus, restaura el dispositivo a valores de fábrica y cambia todas tus contraseñas activando doble factor de autenticación.

Un segundo de atención puede ahorrarte semanas de problemas

La verdad es que navegar por Internet se ha vuelto un ejercicio constante de atención. Un CAPTCHA falso no siempre se distingue a simple vista, pero un par de segundos de análisis antes de hacer clic pueden ser la diferencia entre seguir navegando sin sobresaltos… o pasar días lidiando con cuentas comprometidas y datos robados.