La estafa del "No soy un robot": ciberdelincuentes usan captchas falsos como trampa para robar datos

La próxima vez que te pidan demostrar que no eres un robot, piénsalo dos veces antes de hacer clic porque podrías caer en una nueva y sofisticada estafa.
Como bien sabrás y habrás comprobado, confirmar que no eres un robot se ha convertido en una rutina en internet, pero ahora esa inofensiva casilla de verificación podría ser una trampa.
La Policía Nacional ha lanzado una alerta sobre captchas falsos en TikTok, diseñados por ciberdelincuentes para instalar malware y robar datos personales y bancarios.
En un reciente video publicado en esta red social, la Policía advierte: "Es verdad, no eres un robot, así que no cliques en modo automático. Pon atención porque estos mensajes llamados captcha no siempre garantizan tu seguridad".
¿Qué son los captchas falsos y cómo operan? Un captcha 100% real es una herramienta diseñada para distinguir entre humanos y bots, utilizada por plataformas como Google para proteger datos privados y evitar ataques automatizados.
Sin embargo, y como siempre suele ocurrir, los ciberdelincuentes han encontrado la forma de replicar su estética y funcionalidad para meterse sin que te enteres en dispositivos. El proceso es simple: al marcar la casilla 'No soy un robot', el sistema copia automáticamente un código malicioso en el portapapeles del usuario.
En algunos casos, se pide que hagas alguna combinación de teclas como Windows+R seguido de Ctrl+V y Enter, lo que da pie a que se active de forma automática el malware. Este programa puede robar contraseñas, datos bancarios e incluso dar control total del dispositivo al atacante.
Por supuesto, y para que no sospeches nada, los ciberdelincuentes suelen imitar la estética de navegadores como Chrome para hacer que el captcha parezca real.
Según informes recientes, este método fue reportado por primera vez a finales de 2024 por la Oficina Federal Suiza de Ciberseguridad (BACS) y desde entonces no ha parado de crecer, evolucionar y sofisticarse. También la Oficina Federal de Seguridad de la Información de Alemania (BSI) ha lanzado varias advertencias sobre estos ataques.
En cuanto al daño que puede causar este tipo de estafa, ya te puedes hacer una idea: desde el robo de credenciales hasta la pérdida total del control del dispositivo. Además, los ciberdelincuentes están utilizando estos métodos para acceder a criptomonedas y manipular cuentas bancarias, aumentando, por si puedes poco, el problema.
No hagas clic en modo automático: cómo identificar un captcha falso
La Policía Nacional ha lanzado algunos consejos para que diferencies sin demasiados problemas entre un captcha real y uno falso:
- Desconfía si aparece un captcha fuera de contexto: si estás navegando por una página donde normalmente no se usan, podría ser una señal de alerta.
- Sospecha si te piden copiar y pegar códigos: este es uno de los métodos más utilizados por los captchas falsos para infectar dispositivos.
- Analiza la URL: comprueba si contiene errores o símbolos extraños antes de hacer nada con el captcha.
Según Kaspersky, ya están avisando para que te salten todas las alarmas y comenta que estos falsos mensajes en casi todos los casos van a incluir instrucciones para copiar y pegar códigos, lo que debería activar todas las alarmas en el usuario.
Este kit para lanzar 'malware' se está vendiendo en Telegram por unos 2.000 dólares
Siguiendo con este hilo de estafas que no dejan tranquilo a nadie, atento porque parece que hay nuevo enemigo acechando a los usuarios de Gmail y Outlook: el kit de phishing Astaroth, un sistema tan elaborado que ha conseguido vulnerar la Autenticación de Dos Factores (2FA), considerada hasta ahora como una de las barreras más seguras contra los ciberataques.
De forma simple, Astaroth utiliza un método conocido como proxy inverso, que actúa como intermediario entre el usuario y el servidor legítimo. Así, los atacantes pueden hacerse con las credenciales y tokens de autenticación sin levantar sospechas.
En cuanto al proceso para que caigas, es el siguiente. Cuando una víctima accede a un enlace malicioso, es redirigida a un servidor que imita la página legítima de inicio de sesión.
Con certificados SSL válidos, el sitio parece totalmente seguro, pero en realidad está diseñado para interceptar los datos que metes. Una vez se han hecho con ellos, los atacantes reciben las credenciales y los códigos 2FA en tiempo real, permitiéndoles acceder sin problema alguno a las cuentas y encima no les hace falta de interactuar directamente con el dispositivo del usuario.
Lo que ya realmente preocupa es lo fácil que te puedes hacer con este kit. Astaroth se está vendiendo de una forma totalmente normal en plataformas como Telegram por unos 2.000 dólares, incluyendo soporte técnico y actualizaciones durante seis meses.
Otros artículos interesantes:

Carolina González
Redactora
Carolina González, redactora de actualidad, reportajes a fondo, análisis de todo tipo de productos y vídeos para el canal de Youtube.

