Estafa del captcha: cómo funciona, riesgos reales y cómo protegerte

Antes de hacer clic en la típica casilla de «No soy un robot», conviene pararse un segundo a pensar: los ciberdelincuentes están aprovechando los CAPTCHAs falsos para colar malware, robar datos y, en el peor de los casos, vaciar cuentas bancarias sin que la víctima entienda muy bien qué ha pasado. Es una estafa muy sencilla en apariencia, y precisamente por eso funciona tan bien.

Hoy en día, más de la mitad del tráfico en internet procede de bots, y una parte importante de ellos es claramente maliciosa. Los CAPTCHAs nacieron para frenar estas automatizaciones, pero ahora se han convertido también en un gancho ideal para los atacantes. Como estamos acostumbrados a verlos por todas partes, los aceptamos sin cuestionarlos… y ahí es donde los estafadores meten la cuchara con técnicas como ClickFix o FakeCaptcha.

Qué es realmente la estafa del captcha y por qué está creciendo

La llamada «estafa del CAPTCHA» es un engaño basado en ingeniería social que utiliza pantallas de verificación falsas para hacer que las víctimas ejecuten comandos o descarguen malware en sus dispositivos. La gracia -para los atacantes- es que el escenario parece completamente normal: una web cualquiera, un mensaje para comprobar que eres humano y una acción aparentemente inofensiva.

La mecánica suele ser muy simple: la persona llega a una página que aparenta ser legítima -una tienda online, un portal de noticias o incluso una web real comprometida- y, de repente, salta un supuesto CAPTCHA pidiéndole que confirme que no es un robot. Hasta aquí, nada raro: todos hemos hecho esto miles de veces sin pensarlo.

El truco está en que, una vez superado el «test» habitual (o incluso sin mostrar el CAPTCHA clásico de imágenes o letras distorsionadas), la web pide un paso extra: abrir «Ejecutar» en Windows, copiar un código, pegar un comando o pulsar ciertas teclas en un orden concreto. Es precisamente en ese paso adicional donde se esconde la trampa.

Al seguir esas instrucciones, el usuario activa un script que aprovecha herramientas legítimas del sistema operativo, como PowerShell o mshta.exe en Windows, para descargar y ejecutar malware desde un servidor remoto. Esta técnica complica la detección por parte del antivirus, porque en apariencia se están usando componentes del propio sistema y no un programa extraño recién descargado.

Además, los atacantes han empezado a explotar esta técnica a gran escala gracias a la inteligencia artificial generativa: pueden crear correos de phishing, SMS y mensajes en redes sociales muy convincentes, en varios idiomas y con un aspecto casi perfecto, que dirigen a las víctimas hacia esas páginas con CAPTCHAs falsos.

Cómo funcionan ataques como ClickFix o FakeCaptcha

Dentro de esta familia de fraudes destacan campañas con nombres como ClickFix o FakeCaptcha, que imitan con mucho detalle las ventanas de verificación que todos conocemos. El objetivo es siempre el mismo: conseguir que seas tú quien ejecute la orden maliciosa para, después, soltar el malware en tu equipo.

En el caso de ClickFix, los atacantes emplean imágenes de CAPTCHA falsas para desplegar todo tipo de amenazas: ladrones de información (infostealers), troyanos de acceso remoto (RAT), ransomware, mineros de criptomonedas e incluso malware vinculado a grupos criminales apoyados por estados. Lo peligroso es que muchas veces la persona cree que solo está siguiendo un procedimiento de seguridad rutinario.

FakeCaptcha, por su parte, se ha hecho popular como herramienta diseñada ex profeso para imitar CAPTCHAs reales y engañar al usuario en varios pasos muy concretos. El flujo típico sería algo así:

• El clic: la víctima hace clic en la casilla de «No soy un robot» pensando que es un control de seguridad normal y legítimo.
• La trampa: al hacer clic, sin que la persona lo perciba, se copia un script malicioso en el portapapeles del sistema.
• Las instrucciones: la página «explica» que para terminar la verificación hay que abrir una ventana de ejecución, pegar el contenido copiado o teclear una combinación de teclas concreta.
• El malware: al ejecutar ese contenido, el script actúa como dropper y descarga el malware definitivo en el dispositivo.

En muchas de estas campañas el malware final es Lumma Stealer, un infostealer muy extendido especializado en robar credenciales, datos financieros e información personal. Durante su tiempo activo llegó a comprometer millones de dispositivos antes de que una operación internacional, en la que participó ESET, desmantelara parte de su infraestructura.

Este tipo de ataques se ha disparado en los últimos trimestres, con investigaciones que señalan decenas de miles de redirecciones a páginas con CAPTCHAs falsos y más de 140.000 interacciones con anuncios maliciosos en apenas dos meses. El patrón se repite: anuncios «invisibles» o engañosos redirigen a webs que simulan ser portales legítimos, muestran un CAPTCHA fraudulento y guían al usuario hasta que ejecute el comando que instala el malware.

Por qué los CAPTCHAs falsos engañan tan bien

La efectividad de estas estafas no se basa tanto en la sofisticación técnica, sino en explotar hábitos muy arraigados cuando navegamos. Los CAPTCHAs se han convertido en parte del paisaje de internet: aparecen en formularios, comentarios, compras online, registros… y casi nunca suponen un problema.

Por un lado, existe una fuerte familiaridad y confianza con el procedimiento. Sabemos que los CAPTCHAs se usan para protegernos de bots y ataques automatizados, así que tendemos a asumir que su presencia es sinónimo de seguridad, no de peligro. Esa percepción juega a favor de los ciberdelincuentes, que se limitan a copiar la estética de los CAPTCHAs verdaderos.

Por otro lado, entra en juego la prisa: mucha gente navega con cierta impaciencia, buscando llegar cuanto antes al contenido que quiere ver o al pago que quiere completar. En ese contexto, el CAPTCHA se percibe como un trámite molesto, algo que hay que superar rápido, lo que reduce todavía más la atención que prestamos a lo que aparece en pantalla.

A esto se suma que ya estamos acostumbrados a realizar pasos adicionales de verificación en muchas operaciones online: códigos por SMS, aplicaciones de autenticación, correos de confirmación, etc. Cuando un supuesto CAPTCHA pide «un paso más» para terminar el proceso, no siempre nos salta la alarma porque ese patrón encaja con otras experiencias legítimas que tenemos a diario.

Para rematar, los atacantes se apoyan en el uso de herramientas nativas del sistema -como PowerShell en Windows- que pasarían por acciones normales para un usuario sin conocimientos técnicos. De este modo, quienes caen en la trampa muchas veces sienten que simplemente han seguido unas instrucciones «rutinarias» que la propia web les ha indicado.

Qué tipo de malware se esconde detrás de un CAPTCHA fraudulento

La lista de amenazas que se pueden desplegar a partir de un CAPTCHA falso es bastante amplia, pero hay tres categorías especialmente relevantes por su impacto en la privacidad y en el bolsillo: infostealers, troyanos de acceso remoto (RAT) y, en algunos casos, ransomware o mineros de criptomonedas.

Los infostealers son, probablemente, el principal riesgo en este tipo de campañas. Se trata de programas diseñados para rastrear el dispositivo en busca de datos sensibles: nombres de usuario, contraseñas, cookies de sesión, monederos de criptomonedas, correos, historiales de navegación, documentos, fotos e incluso contactos. Muchos incorporan funciones de keylogging (registrar cada tecla pulsada) y captura de pantalla periódica.

Estudios recientes señalan que, solo en 2024, más de 23 millones de personas fueron víctimas de infostealers, con alrededor de 2.000 millones de credenciales robadas, en su mayoría en sistemas Windows. Malware como Lumma Stealer llegó a afectar a unos 10 millones de dispositivos antes de que su infraestructura principal fuera desarticulada.

Otra amenaza muy habitual es el troyano de acceso remoto o RAT (Remote Access Trojan). Estos programas permiten al atacante controlar el dispositivo a distancia, como si estuviera sentado delante del teclado. Con una RAT pueden robar archivos, instalar más malware, registrar lo que se escribe, activar la cámara o el micrófono y, en general, hacer prácticamente cualquier cosa que haría el usuario legítimo.

Un ejemplo destacado es AsyncRAT, activo desde 2019 y observado en un porcentaje significativo de incidentes de ciberseguridad durante 2024. Este tipo de RAT suele ser distribuido también a través de CAPTCHAs falsos y otras trampas de ingeniería social, porque necesita que la víctima ejecute, de una forma u otra, el código inicial que lo instala.

Además de estas dos familias, en algunos casos los CAPTCHAs fraudulentos se han utilizado para desplegar ransomware y mineros de criptomonedas. El primero cifra los archivos del usuario y exige un rescate económico para recuperarlos; el segundo usa los recursos del dispositivo (CPU y GPU) para minar criptomonedas en beneficio del atacante, ralentizando el sistema y elevando el consumo eléctrico.

Diferencias clave entre un CAPTCHA legítimo y uno falso

La buena noticia es que, aunque los atacantes lo están haciendo cada vez mejor, hay señales bastante claras para distinguir un CAPTCHA auténtico de uno fraudulento. No hace falta ser experto en informática, solo prestar un poco más de atención a ciertos detalles.

Para empezar, los CAPTCHAs de verdad se centran en tareas de reconocimiento sencillas: escribir letras y números un poco distorsionados, identificar imágenes que contengan semáforos, pasos de peatones o bicicletas, ordenar piezas de un puzle, marcar la casilla de «No soy un robot», etc. En ningún caso te pedirán copiar y pegar comandos, ni abrir ventanas del sistema como «Ejecutar» en Windows.

Si un «CAPTCHA» te muestra instrucciones del tipo «pulsa Win + R», «abre el símbolo del sistema y pega este texto» o «presiona estas teclas en este orden» para completar la verificación, ahí tienes una señal roja clarísima de que algo no cuadra. Los organismos oficiales de ciberseguridad, como la policía y centros nacionales de ciberseguridad, insisten precisamente en que nunca hay que seguir este tipo de pasos.

Otra pista importante es el contexto en el que aparece el CAPTCHA. Si el sitio en el que estás navegando no suele pedir verificaciones de este tipo (por ejemplo, una sencilla página informativa) o si el CAPTCHA «salta» de golpe, sin que hayas intentado iniciar sesión, publicar algo o hacer una acción sensible, conviene sospechar.

También merece la pena vigilar la dirección web: una URL demasiado larga, con caracteres extraños o mal escrita puede revelar que en realidad estás en una copia falsa de la página original. Comprobar el dominio, fijarse en si hay variaciones mínimas del nombre (letras cambiadas, números en lugar de letras, etc.) y revisar si la conexión es segura (HTTPS) ayuda a detectar sitios maliciosos.

Cómo te pueden llevar hasta un CAPTCHA malicioso

Los CAPTCHAs falsos no aparecen por arte de magia; suelen formar parte de cadenas de ataque bastante bien montadas que empiezan, casi siempre, con un enlace sospechoso o con publicidad maliciosa incrustada en alguna web.

Una de las vías más habituales son los mensajes de phishing: correos electrónicos, SMS (smishing) o mensajes en redes sociales que invitan a hacer clic en un enlace supuestamente legítimo. Hoy, con la ayuda de la inteligencia artificial, estos mensajes pueden estar escritos en un idioma perfecto, imitar el tono de empresas conocidas e incluso incorporar logotipos y formatos idénticos a los reales.

Otro vector muy peligroso son los sitios web legítimos comprometidos. En estos casos, los ciberdelincuentes han conseguido insertar anuncios maliciosos o fragmentos de código en páginas que la gente visita con total confianza. A veces basta con cargar la página para ser redirigido a un sitio con un CAPTCHA falso, sin que la víctima llegue a hacer clic en nada más.

También se han documentado campañas en las que se usan anuncios «invisibles» o apenas perceptibles en páginas de terceros. Al hacer clic en algún elemento de la web (un botón, una imagen, un enlace), el usuario en realidad activa uno de esos anuncios ocultos que lo conduce a la página fraudulenta donde se encuentra el CAPTCHA engañoso.

En cualquiera de estos escenarios, el patrón es el mismo: redirigir al usuario a un entorno controlado por los atacantes, ganarse su confianza con una apariencia legítima y guiarlo hasta que ejecute los comandos o pasos que terminarán instalando el malware en su dispositivo.

Medidas prácticas para evitar caer en la estafa del captcha

La mejor defensa frente a estas estafas es combinar buenas prácticas de navegación con herramientas de seguridad actualizadas. No hay nada infalible, pero siguiendo unas cuantas pautas se reduce muchísimo el riesgo de que un CAPTCHA falso consiga engañarte.

Lo primero es tener muy claro que un CAPTCHA legítimo jamás te pedirá abrir «Ejecutar», copiar comandos o instalar nada. Si ves instrucciones de ese estilo, cierra la pestaña de inmediato y no sigas interactuando con esa página. Ante la duda, es mejor perder un minuto y salir que arriesgarse a ejecutar algo que pueda comprometer tus datos.

También es importante desconfiar de CAPTCHAs que aparecen sin un motivo aparente, especialmente en webs que no suelen requerir este tipo de verificación. Si te salta un control de este tipo al hacer algo tan simple como leer un artículo o desplazarte por una página, conviene tener las alarmas encendidas.

Mantener el sistema operativo, el navegador y todas las aplicaciones actualizados es clave. Muchas actualizaciones incluyen parches de seguridad que corrigen fallos aprovechados por el malware para ejecutarse o escalar privilegios. Aplazar estas actualizaciones indefinidamente abre una puerta innecesaria a los atacantes.

Además, conviene instalar una solución de seguridad de confianza y mantenerla siempre al día. Un buen antivirus o suite de seguridad puede detectar y bloquear scripts maliciosos, conexiones sospechosas y descargas no autorizadas, incluso cuando el usuario ha sido engañado para iniciar el proceso.

Otra medida útil es evitar a toda costa el software pirata. Muchos programas modificados, cracks y generadores de licencias se utilizan como vehículo para distribuir precisamente este tipo de malware que luego se combina con CAPTCHAs falsos y otras técnicas de ingeniería social.

Por último, usar un bloqueador de anuncios ayuda bastante a reducir la exposición a campañas basadas en publicidad maliciosa. No es una protección absoluta, pero sí disminuye las probabilidades de que un banner adulterado o un anuncio invisible te mande a un sitio con un CAPTCHA fraudulento.

Qué hacer si ya has caído en un captcha falso

Si en algún momento te das cuenta de que has seguido las instrucciones de un supuesto CAPTCHA que te pedía copiar comandos, abrir ventanas del sistema o ejecutar scripts, no todo está perdido, pero es importante actuar con rapidez para limitar los daños.

Lo primero es realizar un análisis completo del dispositivo con un software de seguridad fiable. Deja que el escáner termine y elimina cualquier amenaza que detecte. En paralelo, es recomendable desconectar el equipo de internet para cortar la comunicación con posibles servidores de mando y control del atacante.

A continuación, haz copia de seguridad de los archivos importantes -fotos, documentos, proyectos- en un medio externo o en la nube, siempre que estés seguro de que no estás copiando también el malware. Una vez asegurados tus datos críticos, plantéate seriamente restaurar el dispositivo a valores de fábrica o reinstalar el sistema operativo para eliminar cualquier rastro persistente de la infección.

Después de limpiar o reinstalar, llega el turno de las credenciales. Cambia todas tus contraseñas, empezando por las más sensibles: correo electrónico, banca online, redes sociales, servicios de pago y cualquier cuenta que contenga datos personales o financieros. Lo ideal es que cada servicio tenga una clave fuerte y única, gestionada mediante un gestor de contraseñas.

Activa siempre que sea posible la autenticación de doble factor (2FA/MFA). De este modo, aunque los atacantes se hayan hecho con alguna de tus contraseñas, necesitarían un segundo factor (código SMS, app de autenticación, llave física) para acceder a tus cuentas, lo que complica muchísimo el abuso.

En el caso de que sospeches que se ha comprometido tu información bancaria o tus criptomonedas, contacta cuanto antes con tu banco o tu proveedor de monedero, revisa movimientos recientes y pide que bloqueen o vigilen de cerca tus cuentas. Y, si has sufrido un fraude económico, denuncia el incidente ante las autoridades para contribuir a frenar estas campañas.

Caer en una trampa como la estafa del CAPTCHA puede asustar bastante, pero no significa que todo esté perdido si reaccionas con rapidez y orden. Entender cómo funcionan estos engaños, fijarse un poco más en lo que se hace al navegar y aplicar las medidas de protección adecuadas marcan la diferencia entre un simple susto y un problema serio de seguridad y privacidad.