Los bots son una plaga en internet, y los CAPTCHAs son nuestra herramienta habitual para frenarlos. Sin embargo, esa familiaridad se ha convertido en un arma. ESET alerta sobre el auge de páginas de verificación falsas que simulan ser CAPTCHAs legítimos para engañar a los usuarios y distribuir malware.
¿Por qué caemos en la trampa?
La estrategia funciona porque confiamos en el proceso. Vemos un CAPTCHA, queremos acceder al contenido rápido y seguimos las instrucciones sin pensar. Los atacantes aprovechan esta impaciencia y confianza ciega.
“En algunos casos, la propia página es falsa. Cuando aparece el cuadro, en lugar de pedirte identificar semáforos, te pide ejecutar comandos específicos”, advierte Camilo Gutiérrez Amaya, de ESET Latinoamérica.
Señales de Alerta: Esto NO es un CAPTCHA
Un CAPTCHA legítimo nunca te pedirá:
- Pulsar Windows + R (para abrir “Ejecutar”).
- Pulsar CTRL + V (para pegar un comando malicioso copiado secretamente).
- Presionar ENTER para ejecutar dicho comando.
Si hacés esto, podrías estar descargando un Infostealer (como Lumma Stealer) o un troyano de acceso remoto (RAT), diseñados para robar contraseñas, billeteras cripto y datos sensibles.
Qué hacer si caíste en el engaño
Si ejecutaste los comandos por error:
- Desconectate: Cortá la conexión a internet inmediatamente.
- Analizá: Corré un antivirus completo para detectar intrusos.
- Cambia Claves: Asumí que tus contraseñas están comprometidas y cambialas todas (usando otro dispositivo limpio si es posible).
- Activa MFA: El doble factor de autenticación puede salvarte aunque tengan tu contraseña.
Para seguir aprendiendo
Para mantenerte al día sobre estas amenazas, podés escuchar el podcast Conexión Segura de ESET en Spotify.