En aumento fraude cibernético con CAPTCHAs falsos

La Policía Cibernética de la SSC CDMX alertó a usuarios de la red pública de internet acerca de la modalidad del CAPTCHA falso, que simula ser un mecanismo legítimo de verificación. Este engaño puede ser utilizado como vehículo para la instalación de malware en los dispositivos de los usuarios desprevenidos, con el fin de sustraer información sensible o tomar el control del equipo.

La Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México señala que, en la actualidad, los sistemas de verificación en línea forman parte esencial de la experiencia digital cotidiana. El CAPTCHA se ha consolidado como una herramienta común para distinguir entre usuarios humanos y bots automatizados; sin embargo, esta misma familiaridad ha sido aprovechada por actores maliciosos para diseñar esquemas de engaño cada vez más sofisticados.

El CAPTCHA falso simula ser un mecanismo legítimo de verificación en el que el usuario es invitado a “demostrar que no es un robot”. En lugar de resolver un desafío real, se le induce a copiar y ejecutar un código, generalmente disfrazado como un paso adicional de seguridad.

¿Cómo opera el fraude?

El modus operandi consiste en suplantar un sistema legítimo de verificación con el objetivo de ganarse la confianza del usuario y provocar que actúe por iniciativa propia. Los atacantes implementan páginas o ventanas que imitan fielmente un CAPTCHA real y las presentan como un requisito obligatorio para continuar con la navegación.

La posible víctima es guiada a seguir instrucciones que aparentan ser normales, pero que en realidad tienen un carácter malicioso, como copiar un código o ejecutar comandos en el dispositivo.

Una vez que el usuario confía en la apariencia del sitio y en la supuesta legitimidad del proceso, ejecuta la acción solicitada sin sospechar que activa un mecanismo oculto. Esto desencadena la instalación de software malicioso en el sistema, lo que permite al atacante obtener acceso al dispositivo, sustraer información sensible o tomar control del equipo.

Recomendaciones para protegerse ante CAPTCHAs que contengan malware

La Unidad de Policía Cibernética emite las siguientes recomendaciones para protegerse ante CAPTCHAs que contengan malware:

• No copiar ni ejecutar códigos, comandos o instrucciones provenientes de sitios web, ventanas emergentes o fuentes no verificadas.

• Desconfiar de páginas que soliciten acciones inusuales para validar la identidad del usuario o continuar con la navegación.

• Verificar siempre la autenticidad de los sitios web antes de interactuar con ellos o ingresar información personal.

• Mantener actualizado el sistema operativo, el navegador y el software de seguridad.

• No proporcionar datos personales, contraseñas o credenciales en páginas de origen desconocido.

• Evitar descargar o ejecutar archivos o enlaces sospechosos.

• Reportar cualquier actividad sospechosa a las autoridades o a las unidades de policía cibernética.

• Fomentar la educación y prevención digital para reducir el riesgo de este tipo de amenazas.

Si tienes alguna pregunta, inquietud o detectas actividades sospechosas en el ciberespacio, la Policía Cibernética de la SSC está a tu disposición. Puedes contactarnos a través del teléfono 55 5242 5100, extensión 5086, enviando un correo a [email protected], o mediante nuestras cuentas oficiales en redes sociales: @SSC_CDMX y @UCS_GCDMX.

¿Qué es el CAPTCHA?

El CAPTCHA es un sistema de seguridad utilizado en sitios web para distinguir entre humanos y bots o programas automatizados. Sus siglas en inglés significan Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública completamente automatizada para diferenciar computadoras de humanos).

Presenta desafíos que son fáciles para las personas, pero difíciles para las máquinas, como:

• Escribir letras o números distorsionados que aparecen en una imagen.

• Seleccionar imágenes que contengan ciertos objetos (semáforos, cruces, etc.).

• Marcar la casilla «No soy un robot» (reCAPTCHA de Google), que también analiza el comportamiento del usuario: movimientos del mouse, tiempo, etc.

• Resolver puzzles simples.

Su objetivo principal es prevenir abusos automatizados: spam en formularios, creación masiva de cuentas falsas, ataques de fuerza bruta, scraping excesivo de datos, etc.

¿Cómo lo usan los cibercriminales?

Los delincuentes cibernéticos ven el CAPTCHA como un obstáculo que deben sortear para que sus bots funcionen a gran escala. Las principales formas son:

• Granjas de CAPTCHA (CAPTCHA Farms): Son servicios como 2Captcha o similares, donde contratan a personas reales, a menudo en países con salarios bajos, para que resuelvan CAPTCHAs manualmente. Los bots envían el desafío a la granja y reciben la solución en segundos. Esto permite ataques masivos como la creación de miles de cuentas falsas; credential stuffing (probar contraseñas robadas en masa); compra automatizada de entradas o productos limitados (scalping); y envío masivo de spam.

• Solucionadores automáticos con IA: Cada vez más usan inteligencia artificial, con modelos como GPT-4o, Gemini u otros, que resuelven CAPTCHAs de imágenes, texto o audio con alta precisión y velocidad. Hay servicios comerciales de «AI CAPTCHA Solver» que ofrecen esto como API.

• CAPTCHAs falsos como técnica de estafa: Los ciberdelincuentes crean páginas web falsas que imitan un CAPTCHA o un mensaje de error del navegador. Cuando el usuario intenta «resolverlo», le piden que copie y pegue comandos (por ejemplo, Windows + R y Ctrl + V), lo que ejecuta malware o infostealers que roban contraseñas, cookies, criptomonedas, etc. Es una forma de ingeniería social muy común actualmente.

Lee: Policía Cibernética alerta sobre fraudes en tandas, sorteos y rifas en línea