ES
Los controles de seguridad existen para mantener alejados a los robots, pero los estafadores han dado la vuelta al guión. Las estafas CAPTCHA falsas utilizan las mismas herramientas diseñadas para protegerle como disfraz para piratear su ordenador.
Las páginas de verificación falsas no comprueban si eres humano. Te engañan para que instales malware en tu propio dispositivo. Usted intenta demostrar que no es un robot y, en el proceso, entrega las claves de su sistema.
Este artículo explica exactamente cómo funciona la técnica ClickFix, qué ocurre cuando se pulsa Intro y cómo detener el ataque en seco.
En pocas palabras
Una estafa CAPTCHA falsa es una página web maliciosa que imita una prueba de verificación humana para engañarle y que ejecute manualmente comandos informáticos. Los CAPTCHA reales le piden que haga clic en un semáforo o marque una casilla. El malware CAPTCHA falso utiliza una técnica llamada ClickFix, en la que la página copia silenciosamente un script malicioso oculto en el portapapeles de su ordenador en el momento en que usted hace clic en "Verificar".
A continuación, la página le ofrece instrucciones paso a paso diseñadas para parecer una comprobación de seguridad estándar. Le dice que pulse "Tecla de Windows + R" para abrir el menú Ejecutar, pulse "Ctrl + V" para pegar un código de verificación y pulse Intro. Como crees que sólo estás pegando un código inofensivo, bajas la guardia.
En el momento en que pulsa Intro, ejecuta ese script oculto. Entre bastidores, el comando lanza herramientas legítimas de Windows como PowerShell o mshta.exe -programas que ejecutan scripts- para descargar e instalar malware directamente en su máquina.
En el tercer trimestre de 2024, los investigadores observaron un aumento significativo de las campañas de CAPTCHA falsos. En abril de 2025, casi el 11 % de todos los correos electrónicos de phishing del mundo se enviaron utilizando plataformas de confianza. Estas campañas han distribuido malware destructivo, como Lumma Stealer, Rhadamanthys, AsyncRAT y XWorm.
Las estafas CAPTCHA falsas se propagan principalmente a través de resultados de búsqueda secuestrados, anuncios maliciosos y correos electrónicos engañosos. Es posible que busque la descarga de un software común y haga clic en un anuncio -conocido como malvertising- que le redirige a una página de verificación falsa. Los atacantes también utilizan el envenenamiento SEO, una táctica en la que manipulan los motores de búsqueda para que sus sitios fraudulentos aparezcan en las primeras posiciones de los resultados.
Otras veces, puede que haga clic en un enlace de un correo electrónico de phishing o que aterrice en un sitio web legítimo que un hacker ha comprometido con secuencias de comandos inyectadas. Una vez que llegas, el sitio bloquea el contenido que deseas y muestra el falso aviso "No soy un robot".
No puede confiar en bloquear una única dirección web maliciosa para mantenerse a salvo. Los atacantes cambian regularmente de URL para eludir la detección después de que las empresas de ciberseguridad retiren sus páginas.
Los CAPTCHA falsos instalan software agresivo diseñado para robar sus datos o tomar el control total de su dispositivo. Las cargas útiles más comunes son los ladrones de información como Lumma Stealer, StealC y Rhadamanthys, que obtienen de forma silenciosa las contraseñas guardadas, las cookies del navegador y las carteras de criptomonedas. Al robar las cookies de sesión activas, los hackers eluden la autenticación de dos factores y acceden directamente a sus cuentas.
Otras campañas lanzan troyanos de acceso remoto (RAT) como AsyncRAT o XWorm, que proporcionan a los atacantes una puerta trasera oculta para vigilar su pantalla y controlar su dispositivo. También puede encontrarse con cargadores multietapa como Emmenhtal, un malware que actúa como un camión de reparto, dejando caer una serie de virus adicionales en su sistema a lo largo del tiempo.
Esta amenaza también se dirige a los smartphones a través de una variante móvil específica. Algunos CAPTCHA falsos en teléfonos te engañan para que envíes un mensaje de texto automático para "demostrar que eres humano", lo que en realidad desencadena un fraude internacional por SMS y genera facturas telefónicas de unos 30 dólares por víctima.
Puedes identificar un CAPTCHA falso porque siempre te pide que realices acciones fuera de tu navegador web, como abrir menús del sistema o copiar texto. Una comprobación de seguridad legítima sólo le pedirá que interactúe directamente con la propia página web.
CAPTCHA legítimo CAPTCHA falso Marca una casilla o resuelve un rompecabezas visual Le pide que abra el cuadro de diálogo Ejecutar de Windows (Win+R) o un terminal. Nunca incluye atajos de teclado Proporciona instrucciones de teclado paso a paso Nunca le pide que copie y pegue nada Copia un comando silenciosamente en el portapapeles. Siempre aparece en el sitio web que pretendía visitar Suele aparecer en dominios desconocidos o en páginas emergentes. No le pide que descargue archivos. Puede incluir vídeos tutoriales que le guían por los pasos del sistema.Si ha pegado y ejecutado el comando, debe desconectar inmediatamente su dispositivo de Internet para cortar la conexión del atacante. Desconecta el cable Ethernet o apaga el router Wi-Fi para evitar que el malware envíe las contraseñas robadas al hacker.
Para protegerse, considere cualquier solicitud de utilizar métodos abreviados de teclado como la tecla Windows + R como una amenaza de seguridad grave e inmediata. Los sitios web no pueden obligarle a abrir los menús del sistema, por lo que tienen que utilizar trucos psicológicos para convencerle de que lo haga usted mismo.
Sé muy escéptico ante cualquier CAPTCHA que aparezca en una ventana emergente, un dominio sospechoso o un sitio gratuito de transmisión de contenidos. Puede reducir su exposición utilizando una extensión del navegador que bloquee los dominios maliciosos y manteniendo el sistema operativo y el software antivirus totalmente actualizados.
Para la navegación de alto riesgo, considere desactivar JavaScript en sitios desconocidos o utilizar un navegador dedicado y aislado. Si utiliza un smartphone, no envíe nunca un SMS para verificar su identidad: los CAPTCHA legítimos nunca abrirán su aplicación de mensajería para enviar mensajes de texto premium.
La estafa del CAPTCHA falso es brillantemente engañosa porque vuelve tus propios hábitos de seguridad en tu contra. Estás condicionado a pulsar botones para demostrar que eres humano, lo que hace que la solicitud parezca rutinaria e inofensiva.
Este ataque se aprovecha del comportamiento humano rutinario. Los hackers necesitan que ejecute manualmente su código, por lo que disfrazan la carga útil como un paso de verificación estándar.
Si alguna vez un sitio web le pide que pulse la tecla Windows o pegue un comando para demostrar que es humano, cierre la pestaña inmediatamente.
Preguntas frecuentes
¿Puede mi antivirus bloquear un CAPTCHA falso?
Tu antivirus puede detectar el malware después de que se descargue, pero no puede evitar que pegues y ejecutes manualmente el comando malicioso.
¿Hacer clic en el botón de verificación instala el malware?
Al hacer clic en el botón sólo se copia el código malicioso en el portapapeles; la infección real se produce al pegar y pulsar Intro.
¿Los CAPTCHA falsos sólo son peligrosos en ordenadores Windows?
Mientras que el truco del falso cuadro de diálogo de ejecución de Windows CAPTCHA está dirigido a los PC, las variantes móviles de esta estafa engañan a los usuarios para que envíen mensajes de texto de tarificación adicional.
¿Cómo me ocultan los hackers el comando malicioso?
La página del falso CAPTCHA copia el código silenciosamente en el portapapeles para que, al pegarlo en el indicador Ejecutar, se ejecute sin leerlo.
Adam Collins es un investigador de ciberseguridad de ScamAdviser que opera bajo seudónimo por motivos de privacidad y seguridad. Con más de cuatro años en la primera línea digital, está especializado en traducir amenazas complejas en consejos prácticos. Su misión: sacar a la luz las señales de alarma para que puedas navegar por la red con confianza.
