La estafa del captcha: así vacían su cuenta bancaria con un simple clic en 'No soy un robot'
Criminales tienen un nuevo método para vaciar cuentas bancarias en segundos. Así funciona esta peligrosa estafa.
Por:
Cristian Serrano
Estafa captcha en páginas web, cibercriminales logran robar cuentas bancarias
Foto: Composición RCN Radio con IA ImageFX
Desde hace años, marcar la casilla “No soy un robot” se ha convertido en uno de los filtros de seguridad más usados en las páginas de internet, al punto que la mayoría de cibernautas reaccionan a él de manera automática. Es por ello que millones de personas día a día verifican su humanidad cada día en formularios, inicios de sesión o registros web.
Pero un reciente hallazgo de las autoridades ha revelado que dicha acción, que parecía inofensiva, se ha convertido en el primer paso hacia una estafa diseñada para robar dinero de cuentas bancarias, usando un fraude de suplantación de identidad y control de los dispositivos de la víctima.
De acuerdo con la prensa europea, la Policía Nacional de España ha lanzado una alerta sobre una nueva modalidad de estafa. El engaño se basa en usar captchas falsos para instalar malware en los dispositivos de los usuarios, sin que estos lo noten.
Temas de interés:
- Justo para la quincena: App falsa de Nequi está dejando sin plata a las personas, así funciona la estafa
- Criminales ya pueden burlar la medida de seguridad más fuerte de Gmail, su correo corre peligro
- La pregunta clave que salvará su cuenta bancaria de las estafas telefónicas con voces clonadas
¿Cómo funcionan estos captchas que en realidad son trampas?
Es importante tener presente que los captchas originalmente fueron diseñados como barreras de seguridad para diferenciar humanos de bots, por ello su uso es muy común que aparezcan en sitios web que necesitan proteger datos privados de los usuarios.
Google, por ejemplo, los ha implementado en múltiples plataformas como parte de su estrategia contra el spam y el acceso no autorizado.
Sin embargo, los ciberdelincuentes han encontrado un mecanismo para replicar el chaptcha, usando el mismo diseño, los mismos textos, y hasta los mismos botones.
Criminales imitan el captcha de sitios web para ejecutar estafas
Captura de pantalla
Lea además: Apple Intelligence cuáles son sus funciones más sorprendentes y cómo aprovecharlas en el iPhone y Mac
Pero cuando el usuario hace clic en la casilla “No soy un robot”, se copia automáticamente un código malicioso en el portapapeles del usuario. De hecho, en ciertos casos, se le solicita al usuario realizar combinaciones de teclas como Windows + R, seguido de Ctrl + V y Enter, lo que activa un código malicioso sin que el usuario lo note.
Segundos después, se ejecuta la instalación de un software malicioso diseñado para robar contraseñas, acceder a cuentas bancarias o tomar el control de la cámara y otras funciones del dispositivo infectado.
Según medios europeos, esta modalidad de estafa mediante captchas falsos fue identificada por primera vez a finales de 2024 por la Oficina Federal Suiza de Ciberseguridad (BACS). Pero en los últimos meses esta modalidad ha cobrado más fuerza al expandirse por sitios web y redes sociales.
¿Cómo saber si un captcha es falso?
Ante a esta nueva ola de trampas digitales, autoridades y expertos en ciberseguridad han emitido una serie de recomendaciones prácticas para que los cibernautas puedan detectar un captcha fraudulento.
Las señales que evidencias la trampa son:
Aparece en sitios donde no se necesitan captchas: si aparece la verificación de "no soy un robot" mientras se está leyendo un artículo o viendo un video, es una trampa.
Solicitan copiar y pegar códigos: ningún captcha seguro pedirá realizar este tipo de acciones. Si el mensaje incluye instrucciones para presionar teclas, se trata de una estafa.
La dirección web no parece confiable: revise con atención la URL. En caso de que haya errores ortográficos, símbolos extraños o nombres poco conocidos, es peligroso.
A su turno, voceros de Kaspersky indicaron que estos ataques están aumentando y que en casi todos los casos se utilizan captchas con instrucciones de copiar y pegar código, lo cual debería activar una alerta en los usuarios.
¿Qué debe hacer si ya cayó en la trampa?
En caso de que un usuario haya interactuado con un captcha fraudulento, lo más recomendable es:
- Desconectarse de internet inmediatamente
- Ejecutar un análisis completo del dispositivo con un antivirus actualizado
- Cambiar las contraseñas de cuentas bancarias, correo y redes sociales
- Verificar que no haya movimientos bancarios extraños y activar alertas de seguridad
Fuente: Sistema Integrado Digital
Siga las noticias de RCN Radio en Whatsapp
