Una forma de engaño cibernético está ganando terreno y generando preocupación entre los expertos en seguridad: el uso de pruebas CAPTCHA falsificadas para distribuir programas maliciosos. Este método, que se aprovecha de una herramienta comúnmente asociada con la protección en línea, está logrando comprometer datos sensibles de millones de usuarios en todo el mundo.

Tradicionalmente, los CAPTCHA —esos retos que requieren identificar imágenes, resolver sumas o reconocer texto distorsionado— han sido clave para frenar el acceso automatizado a servicios en línea. No obstante, esa misma confianza que despiertan entre los internautas ahora está siendo utilizada en su contra.

Los ciberdelincuentes diseñan estas falsificaciones con notable precisión, replicando la apariencia de los CAPTCHA reales. En muchos casos, los usuarios se topan con estas trampas tras hacer clic en un anuncio engañoso o tras ser redirigidos a un sitio desconocido. Al seguir las instrucciones, creen estar pasando una verificación legítima, cuando en realidad están permitiendo la instalación de software malicioso.

Uno de los mecanismos más comunes consiste en inducir al usuario a copiar y ejecutar comandos, sin que se percate de que eso habilita el ingreso de programas dañinos. Esta técnica resulta especialmente efectiva porque no requiere descargas evidentes ni clics sospechosos: basta con cumplir los pasos sugeridos para quedar expuesto.

Entre los virus detectados en este tipo de estafa se encuentra Lumma Stealer, un malware que roba contraseñas, datos bancarios y archivos personales, y SecTopRAT, que otorga a los atacantes acceso remoto al dispositivo de la víctima. Ambos actúan en segundo plano, recolectando información sin ser detectados y poniendo en riesgo tanto a usuarios individuales como a organizaciones.

Especialistas en ciberseguridad advierten que este tipo de fraude no solo representa un avance en las técnicas de ingeniería social, sino también una advertencia sobre cómo hasta las herramientas de protección más confiables pueden ser subvertidas.

Para evitar caer en estas trampas, se recomienda extremar precauciones al navegar:

Desconfiar de sitios poco conocidos o que presenten redireccionamientos sospechosos.

Evitar interactuar con CAPTCHA que soliciten copiar comandos o realizar tareas inusuales.

Verificar que el sistema CAPTCHA provenga de un proveedor reconocido, como Google reCAPTCHA.

La clave está en romper la rutina automática con la que solemos resolver estos desafíos. Cuestionar lo que parece familiar y mantener siempre actualizado el software de seguridad puede marcar la diferencia ante estas amenazas cada vez más sofisticadas.