Los bots desempeñan un papel importante en el panorama actual de Internet y, si bien, algunos como los rastreadores y motores de búsqueda de Google, tienen fines legítimos, cerca de un 40% son clasificados como maliciosos.
Los bots pueden utilizarse para actividades dañinas, desde la difusión de discursos polarizantes en las redes sociales hasta ataques distribuidos de denegación de servicio (DDoS) y el secuestro de cuentas.
Si bien una herramienta utilizada por los sitios web para detener a estos bots son los CAPTCHA, ESET, compañía líder en detección proactiva de amenazas, explica que esto no quita que sea importante prestarles atención debido a que existen páginas de verificación falsas que se utilizan para distribuir malware.
“Cuando se está frente a un CAPTCHA solemos seguir las instrucciones y hacer clic sin pensar demasiado. Al fin y al cabo, se supone que mantiene alejados a los bots, pero no siempre es así. En algunos casos, la propia página es falsa y puede meterte en problemas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Las amenazas que utilizan CAPTCHA ocultan sus acciones maliciosas, tanto a quien los utiliza, como al software de seguridad, empleando herramientas legítimas de Windows para pasar desapercibidos.
Esta estrategia de verificadores falsos funciona por varias razones:
-
La familiaridad con el proceso y la confianza que se tiene en los CAPTCHA como forma legítima de mantener la seguridad en Internet.
-
Cierta impaciencia que se puede tener al navegar, ya que a menudo solo se quiere acceder al contenido que se desea y el CAPTCHA se ve como un obstáculo, lo que provoca seguir las instrucciones sin cuestionarlas.
-
La costumbre a realizar múltiples pasos de verificación online, como ocurre, por ejemplo, al realizar pagos por Internet.
Hay varias formas de exponerse a un CAPTCHA malicioso. Puede ser un engaño para que haga clic en un enlace malicioso recibido a través de un correo electrónico de phishing, un SMS o un mensaje de redes sociales.
Con el avance de la inteligencia artificial (IA), este tipo de amenaza está creciendo rápidamente.
Las herramientas de IA generativa han ayudado a los ciberdelincuentes a escalar los ataques de ingeniería social produciendo mensajes con un lenguaje casi perfecto y en varios idiomas al mismo tiempo.
Otra posibilidad es acceder a un sitio web legítimo comprometido por ciberdelincuentes, que han insertado anuncios maliciosos o contenido falso en la página.
Estos casos son especialmente peligrosos porque no requieren ninguna interacción del usuario para que el malware se descargue.
Y a menudo la víctima solo se da cuenta cuando ya es demasiado tarde.
Cuando aparece el cuadro CAPTCHA, puede parecer perfectamente legítimo.
Sin embargo, lo que pide debería hacer saltar las alarmas. En lugar de presentarle las típicas tareas CAPTCHA, como identificar imágenes similares o escribir un texto distorsionado, puede solicitar que se ejecuten comandos específicos, como:
-
Hacer clic para «verificar que eres humano».
-
Pulsar la tecla de Windows + R para abrir el comando «Ejecutar».
-
Pulsar CTRL + V para pegar un comando que el malware ha copiado secretamente en el portapapeles.
-
Pulsar ENTER para ejecutar el comando anterior.
Este comando suele activar herramientas legítimas de Windows, como PowerShell o mshta.exe, para descargar archivos maliciosos adicionales desde un servidor externo.
El objetivo final suele ser instalar un infostealer, un tipo de malware diseñado para robar información confidencial de su dispositivo.
“Uno de los principales riesgos detrás de los CAPTCHA falsos son los infostealers.
Se trata de programas maliciosos diseñados para rastrear ordenadores y teléfonos móviles en busca de nombres de usuario, fotos, contactos y otros datos confidenciales que puedan venderse en la web oscura o utilizarse para suplantar la identidad.
Para ello, atacan navegadores, clientes de correo electrónico, monederos de criptomonedas, aplicaciones e incluso el propio sistema operativo.
Sus técnicas incluyen la captura de pantallas, el keylogging y diversas formas de recopilación de datos”, advierte Gutiérrez Amaya de ESET.
Según un estudio, en 2024 hubo al menos 23 millones de víctimas de los infostealers, la mayoría de ellas en sistemas Windows.
En total, los delincuentes consiguieron robar más de 2.000 millones de credenciales.
Una de las piezas de malware más populares en esta categoría, Lumma Stealer, comprometió alrededor de 10 millones de dispositivos antes de ser detenida por una operación internacional en la que también participó ESET, que desmanteló esta amenaza basada en el modelo de malware como servicio (MaaS).
Además de los infostealers, un CAPTCHA falso también puede instalar un troyano de acceso remoto (RAT), un tipo de malware que le da a un atacante acceso remoto a su dispositivo.
Según otro estudio, AsyncRAT estuvo presente en el 4% de los incidentes registrados en 2024.
Activo desde 2019, este troyano permite el robo de datos, el espionaje mediante keylogging y otras actividades maliciosas realizadas de forma remota.
Para evitar infostealers, troyanos de acceso remoto (RAT) y otras amenazas asociadas a CAPTCHAs maliciosos, desde ESET comparte las siguientes recomendaciones:
-
Tener cuidado con las solicitudes CAPTCHA inusuales, como las que piden ejecutar comandos.
-
Desconfiar de los CAPTCHA que aparecen de la nada, especialmente en sitios web que normalmente no requieren este tipo de verificación.
-
Mantener siempre actualizados el sistema operativo y el navegador, para reducir el riesgo de que los programas maliciosos se aprovechen de antiguos fallos.
-
Instalar software de seguridad de un proveedor fiable y mantenerlo actualizado en todo momento: es una de las formas más eficaces de bloquear actividades maliciosas.
-
Evitar descargar software pirata, ya que a menudo se utiliza como vector para distribuir programas maliciosos, incluidos los que utilizan CAPTCHA falsos.
-
Considerar la posibilidad de utilizar un bloqueador de anuncios para evitar que se cargue contenido potencialmente malicioso a través de anuncios en línea.
Además, Camilo Gutiérrez Amaya de ESET Latinoamérica recomienda:
“Caer en la trampa de un CAPTCHA falso no es el fin del mundo.
Pero si ocurre, es esencial actuar con rapidez para minimizar los daños y los problemas.
Mantense alerta y navegar con seguridad.
Adoptar distintas precauciones ayuda a garantizar una navegación más segura y reduce significativamente los riesgos de ser engañado por falsos escáneres disfrazados de CAPTCHAs legítimos”.
En caso de haber desprevenidamente ejecutado los comandos ocultos, desde ESET aconseja seguir estos pasos:
-
Ejecutar un análisis completo con un software de seguridad fiable para identificar y, con suerte, eliminar cualquier malware que se haya instalado silenciosamente.
-
Desconectar el dispositivo de Internet y hacer una copia de seguridad de los archivos y fotos importantes.
-
Restaurar el ordenador o teléfono móvil a los valores de fábrica, eliminando cualquier posible amenaza persistente.
-
Cambiar todas las contraseñas, creando credenciales fuertes y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas.
-
Activar la autenticación de doble factor (MFA) en todos los servicios posibles, garantizando una capa adicional de seguridad en caso de que las contraseñas se hayan visto comprometidas.