Los sistemas de verificación Captcha han sido una herramienta clave durante años para diferenciar entre usuarios legítimos y bots automatizados, ofreciendo una capa de seguridad en las plataformas digitales.

No obstante, esta medida protectora ha pasado a ser un blanco para los ciberdelincuentes, quienes implementan versiones fraudulentas de estos sistemas con el objetivo de engañar a los usuarios.

Mediante estas tácticas engañosas, los atacantes pueden obtener acceso a información confidencial como contraseñas, datos personales e incluso criptomonedas, dejando a miles de personas vulnerables al robo y a diversas formas de estafa cibernética.

Las estafas digitales evolucionan constantemente, y uno de los métodos que ahora está siendo explotado por ciberdelincuentes es el sistema de verificación ‘No soy un robot’ o Captcha. Este mecanismo, considerado durante años como un estándar de seguridad confiable, se ha transformado en una herramienta de engaño utilizada para perpetrar fraudes.

Los atacantes aprovechan la confianza que los usuarios depositan en estos sistemas automatizados, ocultando estafas cuidadosamente diseñadas detrás de una simple casilla de verificación. A través de este método, logran acceder a cuentas privadas y comprometer la seguridad digital de las víctimas, una situación que ha comenzado a preocupar a los expertos en ciberseguridad.

Los ciberdelincuentes crean un falso error de Google Chrome para engañar a los usuarios. | Foto: Getty Images

¿Cómo operan los ciberdelincuentes?

Según la firma de ciberseguridad Kaspersky, la estafa se activa cuando el usuario ingresa a una página web mediante enlaces maliciosos enviados a través de correos electrónicos, mensajes de texto o redes sociales.

Estos sitios suelen estar disfrazados como plataformas legítimas, tales como servicios en línea, encuestas o tiendas virtuales. Para continuar con el acceso, se solicita realizar una verificación Captcha del tipo ‘No soy un robot’. Estas verificaciones, que son falsas, incluyen mensajes de error que simulan provenir del navegador, engañando al usuario para robar su información.

Lo que el usuario no sabe es que, al interactuar con un Captcha falso, está permitiendo la ejecución de scripts maliciosos que pueden instalar software perjudicial en su dispositivo.

Las estafas evolucionan con rapidez y una de las que ha sido vulnerada por los delincuentes es la comprobación 'No soy un robot' o Captcha. | Foto: Imagen generada con IA: Grok

Además, la víctima puede copiar un comando de PowerShell, una herramienta del sistema operativo Windows, al portapapeles, especialmente en computadoras. Estos programas maliciosos tienen la capacidad de robar contraseñas, registrar las teclas pulsadas e incluso capturar datos bancarios o personales.

Los ciberdelincuentes explotan la apariencia familiar y confiable de los Captchas, una herramienta ampliamente usada por sitios seguros, lo que disminuye la sospecha entre las víctimas. De hecho, muchos usuarios no se dan cuenta de la estafa hasta que comienzan a notar comportamientos extraños en sus cuentas o dispositivos.

La pregunta más común entre los usuarios es por qué estas estafas tienen tanto éxito, y la respuesta se encuentra en la percepción de legitimidad de los Captchas. Estas herramientas, creadas en los años noventa por la Universidad Carnegie Mellon, fueron diseñadas para proteger sitios web contra bots maliciosos y asegurar que solo los usuarios reales pudieran interactuar con ellos.

Con el tiempo, los Captchas han evolucionado, adoptando métodos más sofisticados, como la selección de imágenes o simplemente hacer clic en “No soy un robot”. Sin embargo, los ciberdelincuentes han encontrado formas de aprovechar esta confianza, replicando estas verificaciones y creando una falsa sensación de seguridad en las víctimas.