Los bots desempeñan un papel importante en el panorama actual de
Internet y, si bien, algunos como los rastreadores y motores de búsqueda de Google, tienen fines
legítimos, cerca de un 40% son clasificados como maliciosos. Los bots pueden utilizarse para actividades
dañinas, desde la difusión de discursos polarizantes en las redes sociales hasta ataques distribuidos de
denegación de servicio (DDoS) y el secuestro de cuentas. Si bien una herramienta utilizada por los sitios web
para detener a estos bots son los CAPTCHA, ESET, compañía líder en detección proactiva de amenazas,
explica que esto no quita que sea importante prestarles atención debido a que existen páginas de verificación
falsas que se utilizan para distribuir malware.
“Cuando se está frente a un CAPTCHA solemos seguir las instrucciones y hacer clic sin pensar demasiado. Al
fin y al cabo, se supone que mantiene alejados a los bots, pero no siempre es así. En algunos casos, la propia
página es falsa y puede meterte en problemas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de
Investigación de ESET Latinoamérica.
Las amenazas que utilizan CAPTCHA ocultan sus acciones maliciosas, tanto a quien los utiliza, como al
software de seguridad, empleando herramientas legítimas de Windows para pasar desapercibidos. Esta
estrategia de verificadores falsos funciona por varias razones:
La familiaridad con el proceso y la confianza que se tiene en los CAPTCHA como forma legítima de
mantener la seguridad en Internet.
Cierta impaciencia que se puede tener al navegar, ya que a menudo solo se quiere acceder al contenido
que se desea y el CAPTCHA se ve como un obstáculo, lo que provoca seguir las instrucciones sin
cuestionarlas.
La costumbre a realizar múltiples pasos de verificación online, como ocurre, por ejemplo, al realizar
pagos por Internet.
Hay varias formas de exponerse a un CAPTCHA malicioso. Puede ser un engaño para que haga clic en un
enlace malicioso recibido a través de un correo electrónico de phishing, un SMS o un mensaje de redes
sociales.
Con el avance de la inteligencia artificial (IA), este tipo de amenaza está creciendo rápidamente. Las
herramientas de IA generativa han ayudado a los ciberdelincuentes a escalar los ataques de ingeniería social
produciendo mensajes con un lenguaje casi perfecto y en varios idiomas al mismo tiempo.
Otra posibilidad es acceder a un sitio web legítimo comprometido por ciberdelincuentes, que han insertado
anuncios maliciosos o contenido falso en la página. Estos casos son especialmente peligrosos porque no
requieren ninguna interacción del usuario para que el malware se descargue. Y a menudo la víctima solo se
da cuenta cuando ya es demasiado tarde.
Cuando aparece el cuadro CAPTCHA, puede parecer perfectamente legítimo. Sin embargo, lo que pide
debería hacer saltar las alarmas. En lugar de presentarle las típicas tareas CAPTCHA, como identificar imágenes similares o escribir un texto distorsionado, puede solicitar que se ejecuten comandos específicos,
como:
Hacer clic para «verificar que eres humano»;
Pulsar la tecla de Windows + R para abrir el comando «Ejecutar»;
Pulsar CTRL + V para pegar un comando que el malware ha copiado secretamente en el
portapapeles;
Pulsar ENTER para ejecutar el comando anterior.
Este comando suele activar herramientas legítimas de Windows, como PowerShell o mshta.exe, para
descargar archivos maliciosos adicionales desde un servidor externo. El objetivo final suele ser instalar
un infostealer, un tipo de malware diseñado para robar información confidencial de su dispositivo.
“Uno de los principales riesgos detrás de los CAPTCHA falsos son los infostealers. Se trata de programas
maliciosos diseñados para rastrear ordenadores y teléfonos móviles en busca de nombres de usuario, fotos,
contactos y otros datos confidenciales que puedan venderse en la web oscura o utilizarse para suplantar la
identidad. Para ello, atacan navegadores, clientes de correo electrónico, monederos de criptomonedas,
aplicaciones e incluso el propio sistema operativo. Sus técnicas incluyen la captura de pantallas, el keylogging
y diversas formas de recopilación de datos”, advierte Gutiérrez Amaya de ESET.
Según un estudio, en 2024 hubo al menos 23 millones de víctimas de los infostealers, la mayoría de ellas en
sistemas Windows. En total, los delincuentes consiguieron robar más de 2.000 millones de credenciales. Una
de las piezas de malware más populares en esta categoría, Lumma Stealer, comprometió alrededor de 10
millones de dispositivos antes de ser detenida por una operación internacional en la que también participó
ESET, que desmanteló esta amenaza basada en el modelo de malware como servicio (MaaS).
Además de los infostealers, un CAPTCHA falso también puede instalar un troyano de acceso remoto (RAT), un
tipo de malware que le da a un atacante acceso remoto a su dispositivo. Según otro estudio, AsyncRAT
estuvo presente en el 4% de los incidentes registrados en 2024. Activo desde 2019, este troyano permite el
robo de datos, el espionaje mediante keylogging y otras actividades maliciosas realizadas de forma remota.
Para evitar infostealers, troyanos de acceso remoto (RAT) y otras amenazas asociadas a CAPTCHAs
maliciosos, desde ESET comparte las siguientes recomendaciones:
Tener cuidado con las solicitudes CAPTCHA inusuales, como las que piden ejecutar comandos;
Desconfiar de los CAPTCHA que aparecen de la nada, especialmente en sitios web que normalmente no
requieren este tipo de verificación;
Mantener siempre actualizados el sistema operativo y el navegador, para reducir el riesgo de que los
programas maliciosos se aprovechen de antiguos fallos;
Instalar software de seguridad de un proveedor fiable y mantenerlo actualizado en todo momento: es
una de las formas más eficaces de bloquear actividades maliciosas;
Evitar descargar software pirata, ya que a menudo se utiliza como vector para distribuir programas
maliciosos, incluidos los que utilizan CAPTCHA falsos;
Considerar la posibilidad de utilizar un bloqueador de anuncios para evitar que se cargue contenido
potencialmente malicioso a través de anuncios en línea.
