Lidiar con CAPTCHAs suele ser una experiencia frustrante. Ya sea descifrar letras distorsionadas o seleccionar imágenes, estos desafíos de seguridad están diseñados para proteger a los usuarios, pero pueden convertirse rápidamente en una molestia. Sin embargo, recientemente ha surgido una tendencia preocupante: los CAPTCHAs falsificados engañan a los usuarios para que descarguen malware, lo que intensifica nuestra aversión por estas medidas de seguridad.
Los riesgos ocultos de los CAPTCHA
Aunque los CAPTCHA suelen ser una molestia menor, no siempre son inofensivos. Un nuevo esquema, dirigido principalmente a usuarios de Windows, convierte estos molestos rompecabezas en vectores para software malicioso, exponiéndolos a riesgos significativos. Mientras intentas verificar tu identidad, los ciberdelincuentes utilizan páginas CAPTCHA falsas para manipularte y obligarte a realizar acciones que conducen a la instalación de malware.
Estos desafíos de verificación falsificados imitan las funciones de seguridad auténticas de Cloudflare, lo que dificulta distinguir entre solicitudes genuinas y fraudulentas. Dado nuestro habitual cumplimiento de este tipo de tareas en línea, es fácil pasar por alto la autenticidad del CAPTCHA con el que nos enfrentamos.
El malware en cuestión se conoce como Stealthy StealC, que recopila de forma sigilosa información confidencial, incluidas credenciales de inicio de sesión, datos de billeteras de criptomonedas y detalles de cuentas de correo electrónico como Outlook o plataformas de juegos como Steam.
Aunque generalmente se recomienda evitar sitios web sospechosos, la alarmante realidad es que los hackers se están infiltrando en los sistemas CAPTCHA de sitios web de confianza. Mediante un código JavaScript simple pero dañino, pueden reemplazar los CAPTCHA genuinos con sus copias maliciosas, una táctica conocida como clickjacking que puede convertir sitios web confiables en amenazas.
Tenga cuidado con los CAPTCHA que involucran atajos de teclado
Los CAPTCHA suelen involucrar a los usuarios con métodos tradicionales, como resolver rompecabezas, escribir cadenas aleatorias o identificar imágenes en una cuadrícula. Sin embargo, estos CAPTCHA falsos toman una ruta distinta al solicitar a los usuarios que introduzcan atajos de teclado específicos. Ningún CAPTCHA legítimo requiere que los usuarios introduzcan dichas combinaciones.
Por ejemplo, una secuencia maliciosa común consiste en presionar Win«+» Rpara iniciar el símbolo del sistema de ejecución silenciosamente en segundo plano, seguido del comando Ctrl«+» Vpara insertar, sin darse cuenta, instrucciones dañinas. Finalmente, al presionar «Intro», se ejecuta el comando, lo que provoca la descarga del malware.
Esta no es una táctica ilícita nueva; ya se han observado ataques similares. Hace aproximadamente un año, una campaña conocida como EDDIESTEALER explotó páginas CAPTCHA falsas para atacar a usuarios de Windows en Google Chrome, lo que provocó infecciones de malware.
Reconocer CAPTCHAs auténticos y falsificados
Aunque la mayoría de los CAPTCHA son herramientas legítimas destinadas a proteger sitios web de bots automatizados, su prevalencia se ha disparado debido a la creciente amenaza que representa el web scraping impulsado por IA. Aquí tienes algunos consejos para ayudarte a diferenciar entre CAPTCHAs reales y maliciosos:
- Solicitudes para ejecutar scripts o comandos
- Uso de la casilla de verificación “No soy un robot” que genera atajos de teclado en lugar de desafíos basados en imágenes
- Aparecen mensajes CAPTCHA inesperadamente, no alineados con la navegación del sitio
- Apertura de nuevas páginas con URL comprometidas o alteradas
- Mala gramática o espaciado inusual en las instrucciones
- Imágenes de baja calidad que requieren atajos de teclado en lugar de la selección de imágenes habitual
Esté atento a su entorno. Si aparece una ventana de PowerShell o del Símbolo del sistema mientras interactúa con un CAPTCHA, detenga inmediatamente todas las acciones y salga de la página.
Evaluación de la ejecución de scripts en Windows
Como medida de precaución, deshabilitar Windows Script Host puede ayudar a prevenir la ejecución de scripts dañinos. Como alternativa, puede optar por un enfoque menos radical que restrinja la ejecución de scripts no autorizados.
Si se siente cómodo y tiene derechos administrativos, editar el Registro para deshabilitar Windows Script Host es sencillo y se puede restaurar fácilmente cuando sea necesario. Para ello:
Presiona Win+ R, escribe regedity pulsa Enter. Luego, navega hasta:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
Haga clic derecho en el panel derecho y seleccione Nuevo → Valor DWORD (32 bits).
Asigne al nuevo valor el nombre «Habilitado». Haga doble clic en esta nueva entrada para establecer su valor en 0 y deshabilitar los scripts. Reinicie el equipo para que el cambio surta efecto. Si desea habilitar los scripts en el futuro, vuelva a cambiar el valor a 1.
Si bien esta acción también bloqueará scripts legítimos, es bastante simple revertirla según sea necesario.
Estrategias para bloquear elementos de JavaScript
Otra defensa contra los CAPTCHA falsificados consiste en bloquear JavaScript en los sitios web. Aunque esto puede interrumpir ciertas funcionalidades de sus sitios favoritos, los navegadores suelen permitir habilitar JavaScript de forma selectiva.
Puede encontrar la configuración de JavaScript en la configuración de su navegador o considerar usar una extensión de bloqueo de scripts como NoScript. Además, las extensiones centradas en la privacidad como uBlock Origin pueden ofrecer opciones personalizables para bloquear scripts específicos.
Dada la naturaleza persistente de los CAPTCHA falsos, mejorar sus defensas restringiendo la ejecución de scripts y estando al tanto de las instrucciones del CAPTCHA reducirá significativamente su riesgo de ser víctima de malware oculto.
Artículos relacionados:
Por qué cambié de Claude Code a Codex y me arrepiento de no haberlo hecho antes.
9:18
Comprender NVIDIA DLSS: una explicación del escalado y soluciones alternativas
9:17
Comprender la emulación: ventajas clave, inconvenientes y perspectivas adicionales
9:15
Deja una respuesta