Crece el uso de CAPTCHAs fraudulentos para propagar malware

Aunque el uso de páginas falsas de verificación CAPTCHA como táctica de engaño se remonta a 2024, esta técnica está evolucionando hacia una amenaza mucho más peligrosa. En su forma más reciente, los atacantes no solo simulan CAPTCHAs para aparentar legitimidad, sino que instruyen activamente al usuario a ejecutar comandos maliciosos que permiten instalar malware directamente en su dispositivo.

 

Un disfraz cotidiano para una amenaza sigilosa

Los CAPTCHAs están diseñados para distinguir usuarios humanos de bots, por lo que su presencia transmite seguridad. Pero en estos ataques, lo que parece una simple prueba de verificación es en realidad una trampa cuidadosamente diseñada. Este tipo de ataque, que simula procesos de verificación humana mediante CAPTCHAs fraudulentos, ha ganado tracción  por su capacidad para sortear la detección de los sistemas de seguridad tradicionales y apoyarse en herramientas legítimas del sistema operativo Windows para descargar e instalar programas maliciosos como infostealers, ransomware, troyanos de acceso remoto (RAT), criptomineros e incluso malware respaldado por actores estatales.

“El problema no es solo que estas trampas pasen desapercibidas, sino que apelan a nuestra rutina digital. Hacemos clic sin pensar porque confiamos en lo familiar. Precisamente por eso, los atacantes logran su objetivo”, señala Josep Albors, director de investigación y concienciación de ESET España.

A diferencia de los desafíos CAPTCHA tradicionales que piden identificar imágenes o introducir texto distorsionado, las versiones falsas instruyen al usuario a pulsar Windows + R para abrir el cuadro "Ejecutar", pegar un comando malicioso copiado en segundo plano al portapapeles, y ejecutarlo con ENTER.

Además, existe una variación de esta técnica a la que se ha denominado ClickFix y que consiste en simular que existe un problema en una aplicación, mostrando una ventana emergente que nos indica los pasos a seguir para poder solucionar la incidencia. Este procedimiento activa herramientas como PowerShell o mshta.exe para descargar código malicioso desde servidores remotos, tratando de eludir así la detección y explotación de vulnerabilidades del sistema.

 

La IA multiplica el alcance del engaño

El empleo de inteligencia artificial generativa ha elevado el nivel de las campañas de phishing y fraude. Los atacantes utilizan estas herramientas para redactar mensajes casi perfectos en múltiples idiomas, lo que aumenta la credibilidad de las comunicaciones que conducen al usuario a estos CAPTCHAs falsos.

Además, ESET advierte sobre la presencia de estos mecanismos en páginas legítimas que han sido comprometidas con anuncios o scripts maliciosos, lo que implica que el usuario puede infectarse incluso sin interactuar directamente con un correo fraudulento.