Captchas falsos infectan celulares: alerta cibernética

México.- La Policía Cibernética de la Secretaría de Seguridad Ciudadana (SSC) de la Ciudad de México alertó sobre la modalidad de riesgo legítimo de verificación, también conocida como CAPTCHA o RECAPTCHA, donde ciberdelincuentes inducen a usuarios a copiar y ejecutar códigos maliciosos para robar su información.

“Un CAPTCHA falso simula ser un mecanismo legítimo de verificación, el cual puede ser utilizado como vehículo para la instalación de malware en los dispositivos de los usuarios desprevenidos y sustraer información sensible o tomar el control del equipo”, alertaron las autoridades capitalinas.

¡Mucho cuidado! Te infectan con malware gracias a los CAPTCHA

La autoridad mexicana destacó que los CAPTCHA, sistemas que se usan para distinguir entre usuarios humanos y bots automatizados, han sido aprovechados por actores maliciosos para diseñar esquemas de engaño sofisticados.

Estas herramientas falsificadas simulan ser un mecanismo legítimo de verificación, en donde el usuario no resuelve un desafío para demostrar que “no es un robot”.

¿Cómo funciona este nuevo fraude en CDMX?

El modus operandi de este tipo de ataque consiste en suplantar un sistema legítimo de verificación con el objetivo de ganarse la confianza del usuario y provocar que actúe por iniciativa propia, según la Policía Cibernética.

Para lograrlo, los atacantes implementan páginas o ventanas que imitan fielmente a un CAPTCHA real, presentándolas como requisito obligatorio para continuar con la navegación.

Una vez que la víctima confía en la apariencia del sitio, ejecuta la acción solicitada sin sospechar que activa un mecanismo oculto, el cual desencadena la instalación de software malicioso en el sistema.

Cuando el usuario descarga el malware, el atacante obtiene acceso al dispositivo, sustrae información sensible o toma control del equipo.

Recomendaciones para no caer en CAPTCHA falsos

Ante ello, la Unidad de Policía Cibernética emitió las siguientes recomendaciones para protegerse ante CAPTCHA que contengan malware:

⁠No copies ni ejecutes códigos, comandos o instrucciones provenientes de sitios web, ventanas emergentes o fuentes no verificadas.

Desconfía de páginas que soliciten acciones inusuales para validar la identidad del usuario o continuar con la navegación.

Verifica siempre la autenticidad de los sitios web antes de interactuar con ellos o ingresar información personal.

Actualiza el sistema operativo, navegador y software de seguridad.

No proporciones datos personales, contraseñas o credenciales en páginas de origen desconocido.

Evita descargar o ejecutar archivos o enlaces sospechosos.

Reporta cualquier actividad sospechosa a las autoridades o a las unidades de policía cibernética.

Fomenta la educación y prevención digital para reducir el riesgo de este tipo de amenazas.