Los bots desempeñan un papel importante en el panorama actual de Internet y, si bien, algunos como los rastreadores y motores de búsqueda de Google, tienen fines legítimos, cerca de un 40% son clasificados como maliciosos. Los bots pueden utilizarse para actividades dañinas, desde la difusión de discursos polarizantes en las redes sociales hasta ataques distribuidos de denegación de servicio (DDoS) y el secuestro de cuentas. Si bien una herramienta utilizada por los sitios web para detener a estos bots son los CAPTCHA, ESET, compañía líder en detección proactiva de amenazas, explica que esto no quita que sea importante prestarles atención debido a que existen páginas de verificación falsas que se utilizan para distribuir malware.

Las amenazas que utilizan CAPTCHA ocultan sus acciones maliciosas, tanto a quien los utiliza, como al software de seguridad, empleando herramientas legítimas de Windows para pasar desapercibidos. Esta estrategia de verificadores falsos funciona por varias razones:
- La familiaridad con el proceso y la confianza que se tiene en los CAPTCHA como forma legítima de mantener la seguridad en Internet.
- Cierta impaciencia que se puede tener al navegar, ya que a menudo solo se quiere acceder al contenido que se desea y el CAPTCHA se ve como un obstáculo, lo que provoca seguir las instrucciones sin cuestionarlas.
- La costumbre a realizar múltiples pasos de verificación online, como ocurre, por ejemplo, al realizar pagos por Internet.
Hay varias formas de exponerse a un CAPTCHA malicioso. Puede ser un engaño para que haga clic en un enlace malicioso recibido a través de un correo electrónico de phishing, un SMS o un mensaje de redes sociales.
Con el avance de la inteligencia artificial (IA), este tipo de amenaza está creciendo rápidamente. Las herramientas de IA generativa han ayudado a los ciberdelincuentes a escalar los ataques de ingeniería social produciendo mensajes con un lenguaje casi perfecto y en varios idiomas al mismo tiempo.
Otra posibilidad es acceder a un sitio web legítimo comprometido por ciberdelincuentes, que han insertado anuncios maliciosos o contenido falso en la página. Estos casos son especialmente peligrosos porque no requieren ninguna interacción del usuario para que el malware se descargue. Y a menudo la víctima solo se da cuenta cuando ya es demasiado tarde.
- Hacer clic para «verificar que eres humano»;
- Pulsar la tecla de Windows + R para abrir el comando «Ejecutar»;
- Pulsar CTRL + V para pegar un comando que el malware ha copiado secretamente en el portapapeles;
- Pulsar ENTER para ejecutar el comando anterior.
Para evitar infostealers, troyanos de acceso remoto (RAT) y otras amenazas asociadas a CAPTCHAs maliciosos, desde ESET comparte las siguientes recomendaciones:
- Tener cuidado con las solicitudes CAPTCHA inusuales, como las que piden ejecutar comandos;
- Desconfiar de los CAPTCHA que aparecen de la nada, especialmente en sitios web que normalmente no requieren este tipo de verificación;
- Mantener siempre actualizados el sistema operativo y el navegador, para reducir el riesgo de que los programas maliciosos se aprovechen de antiguos fallos;
- Instalar software de seguridad de un proveedor fiable y mantenerlo actualizado en todo momento: es una de las formas más eficaces de bloquear actividades maliciosas;
- Evitar descargar software pirata, ya que a menudo se utiliza como vector para distribuir programas maliciosos, incluidos los que utilizan CAPTCHA falsos;
- Considerar la posibilidad de utilizar un bloqueador de anuncios para evitar que se cargue contenido potencialmente malicioso a través de anuncios en línea.
En caso de haber desprevenidamente ejecutado los comandos ocultos, desde ESET aconsejas seguir estos pasos:
- Ejecutar un análisis completo con un software de seguridad fiable para identificar y, con suerte, eliminar cualquier malware que se haya instalado silenciosamente;
- Desconectar el dispositivo de Internet y hacer una copia de seguridad de los archivos y fotos importantes;
- Restaurar el ordenador o teléfono móvil a los valores de fábrica, eliminando cualquier posible amenaza persistente;
- Cambiar todas las contraseñas, creando credenciales fuertes y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas;
- Activar la autenticación de doble factor (MFA) en todos los servicios posibles, garantizando una capa adicional de seguridad en caso de que las contraseñas se hayan visto comprometidas.