Captchageddon indica un cambio peligroso

agosto 12, 2025 Tecnología Leave a comment 2 Vistas

Captchageddon indica un cambio peligroso

NUEVO¡Ahora puedes escuchar artículos de Fox News!

¿Qué parece un simple «eres humano?» El cheque es ahora uno de los trucos más peligrosos en Internet. Los Captchas falsos se han convertido en Malware LaunchPads de malware en toda regla, gracias a un nuevo método astuto llamado ClickFix. Copia comandos a su portapapeles y lo engaña para que los ejecute, sin descargar un archivo.

Este cambio en las tácticas de ataque es tan grande que los investigadores lo llaman «Captchageddon». No es solo una nueva estafa. Es un sistema de entrega de malware viral que es más convincente, sigiloso y generalizado que cualquier cosa anterior. Desglosemos cómo funciona esta nueva ola de ataques y qué hace que sea tan difícil detenerse.

Regístrese para mi informe gratuito de Cyberguy
Obtenga mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas entregadas directamente a su bandeja de entrada. Además, obtendrá acceso instantáneo a mi guía de supervivencia de estafa definitiva, gratis cuando se une a mi Cyberguy.com/newsletter.

Cómo los estafadores explotan sus datos para las estafas de jubilación ‘preaprobadas’

Ilustración de contenido falso detrás de Captcha falso.

Ilustración de contenido falso detrás de Captcha falso. (Guardio)

Cómo se hicieron cargo los captchas falsos

En 2024, los expertos en seguridad advirtieron sobre las ventanas emergentes de actualización del navegador falso. Se les dijo a las víctimas que descargaran archivos que resultaron ser malware. Pero esos trucos ahora están desactualizados. Ingrese ClickFix.

En lugar de pedir a los usuarios que instalaran algo, ClickFix carga una pantalla Captcha falsa. Se ve legítimo, al igual que Google Recaptcha o las comprobaciones de bots de Cloudflare. Pero cuando hace clic en «Verificar», copia secretamente un script de PowerShell o Shell de Malicioso a su portapapeles.

A partir de ahí, está a solo uno pegar de la instalación de malware que roba sus cuentas, contraseñas y archivos. Este nuevo truco es más convincente que cualquier mensaje de descarga anterior. Y se está extendiendo como un incendio forestal.

5 pasos para proteger sus finanzas de las estafas familiares

Desde ventanas emergentes hasta campañas de captcha a gran escala

Los Captchas falsos no se quedaron en ventanas emergentes de anuncios incompletos por mucho tiempo. Los atacantes se dieron cuenta de que podían ocultar estos trucos en los lugares que la gente ya confía:

  • Blogs comprometidos de WordPress
  • Repositorios de Github
  • Hilos Reddit
  • Sitios de noticias borrosos
  • Correos electrónicos de phishing de booking.com

Cada ataque se mezcla con el sitio o servicio que imita. Algunos Captchas incluso muestran logotipos del sitio, lo que hace que el truco parezca que vino de la página misma. Este ya no es un esquema de pulverización y propagación. Es una ingeniería social dirigida envuelta en un diseño elegante.

Ilustración de la expansión de la narrativa de Captcha con el tiempo.

Ilustración de la expansión de la narrativa de Captcha con el tiempo. (Guardio)

La tecnología detrás del truco de la captcha

Estas no son estafas de bajo esfuerzo. Los atacantes evolucionan constantemente sus tácticas para evitar la detección. Esto es lo que hace que este malware sea tan sigiloso:

  • Silvacaje de portapapeles: En lugar de descargar un archivo, pega el ataque directamente en su portapapeles.
  • Código ofuscado: Los scripts de PowerShell y Shell están ocultos con errores ortográficos, símbolos y codificación.
  • Anfitriones de confianza: Algunas cargas útiles provienen de los scripts de Google, haciéndolos parecer seguros.
  • Alcance multiplataforma: Se dirigen a los usuarios de Windows, MacOS y Linux por igual.

Los atacantes también sirven las cargas útiles a través de dominios de aspecto confiable e incluso bibliotecas de JavaScript de aspecto legítimo.

¿Qué es la inteligencia artificial (AI)?

Seguimiento del ADN del malware

Los investigadores de seguridad de Guardio no solo miraron un ataque. Analizaron miles. Al agrupar estructuras de comando, dominios y patrones de carga útil, identificaron múltiples actores de amenaza que usan tácticas similares, cada una con un giro ligeramente diferente. Algunos grupos usan un código fuertemente ofuscado. Otros van a la velocidad con scripts limpios y legibles. Pero todos confían en el mismo truco central: engañarte para hacer clic en algo que parece inofensivo.

Ilustración de la evolución de las estafas de Captcha.

Ilustración de la evolución de las estafas de Captcha. (Guardio)

Cómo protegerse de los ataques falsos de la captcha

Estas nuevas estafas de ClickFix son sigilosas, convincentes y difíciles de detectar, pero puede mantenerse seguro con los hábitos y herramientas correctos. Esto es lo que debe hacer de inmediato:

1) Mantenga actualizado su software de navegador y antivirus

Siempre ejecute la última versión de su navegador y sistema operativo. Actualizaciones de los agujeros de seguridad de parche que los atacantes explotan. Además, use un software antivirus fuerte y manténgalo actualizado. La mejor manera de salvaguardarse de los enlaces maliciosos que instalan malware, que potencialmente acceden a su información privada, es tener un software antivirus fuerte instalado en todos sus dispositivos. Esta protección también puede alertarlo sobre los correos electrónicos de phishing y las estafas de ransomware, manteniendo su información personal y sus activos digitales seguros.

Obtenga mis elecciones para los mejores ganadores de protección antivirus 2025 para sus dispositivos Windows, Mac, Android e iOS en Cyberguy.com/lockupyourtech.

Obtenga el negocio de Fox sobre la marcha haciendo clic aquí

2) Evite copiar y pegar comandos de fuentes desconocidas

Si un sitio le pide que pegue un comando en su terminal o consola del navegador, deténgase. Ese es el método de entrega principal para el malware ClickFix. Los servicios legítimos nunca le pedirán que haga esto.

3) Verifique cuidadosamente los enlaces y dominios

Las campañas de phishing están ocultando a Captchas falsos en URL de aspecto legítimo en Reddit, Github e incluso en sitios de noticias. Siempre pasee los enlaces antes de hacer clic y verifique el dominio, especialmente si se le solicita que «verifique que sea humano».

4) Use un servicio de eliminación de datos personales

Estos ataques a menudo se dirigen a usuarios cuyos correos electrónicos o datos personales ya están circulando en línea. Estos servicios pueden reducir su huella digital solicitando la eliminación de los sitios de Data Broker. Si bien ningún servicio puede garantizar la eliminación completa de sus datos de Internet, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos, y tampoco es tu privacidad. Estos servicios hacen todo el trabajo por usted al monitorear activamente y borrando sistemáticamente su información personal de cientos de sitios web. Es lo que me da tranquilidad y ha demostrado ser la forma más efectiva de borrar sus datos personales de Internet. Al limitar la información disponible, reduce el riesgo de los datos de referencias cruzadas de las infracciones con información que pueden encontrar en la red oscura, lo que dificulta que se le apuntarán.

Consulte mis mejores selecciones para obtener servicios de eliminación de datos y obtenga un escaneo gratuito para averiguar si su información personal ya está disponible en la web visitando Cyberguy.com/delete

Obtenga un escaneo gratuito para averiguar si su información personal ya está en la web: Cyberguy.com/freescan.

5) Use un navegador con protección de phishing incorporada

Los navegadores modernos como Brave, Chrome, Firefox, Safari y Opera ofrecen protección en tiempo real que bloquea los sitios web maliciosos, incluidas las páginas falsas de Captcha. Microsoft Edge también incluye fuertes defensas de phishing a través de su filtro SmartScreen. Asegúrese de que las características como navegación segura mejorada o pantalla inteligente estén encendidas. Estas herramientas detectan amenazas antes de hacer clic, dándole una capa crítica de defensa.

6) Use un administrador de contraseñas con detección de phishing

Los administradores de contraseñas no solo almacenan sus inicios de sesión; También pueden alertarlo cuando un sitio se ve sospechoso. Si su administrador no se enfrenta a una contraseña en una pantalla Captcha o una página de inicio de sesión, es una bandera roja. Por lo general, significa que el sitio no se reconoce como legítimo. Este pequeño momento de vacilación puede ayudarlo a evitar caer en una estafa.

Consulte los mejores administradores de contraseñas revisados por expertos de 2025 en Cyberguy.com/passwords.

7) Informe sitios falsos de captcha

Si aterriza en una página sombreada de captcha, no solo cierre la pestaña; repórtelo. La mayoría de los navegadores tienen una opción «Informar un problema de seguridad», o puede usar Google Safe Browsing (SafeBrowsing.google.com). Marcar páginas maliciosas ayuda a evitar que la estafa se propague y proteja a otros de la caída de la misma trampa.

8) Advierta a sus amigos y familiares sobre estafas de captcha

La mayoría de las personas no saben sobre estos ataques basados en portapapeles. Comparte este artículo y habla sobre ello. Aumentar la conciencia puede evitar que la estafa se extienda.

Haga clic aquí para obtener la aplicación Fox News

Takeaways de Kurt’s Key

Captchageddon marca un punto de inflexión. El malware ya no solo se esconde en descargas sombrías. Se esconde a la vista, en sitios web familiares, en aplicaciones de confianza y dentro de los botones que hace clic todos los días. Esta tendencia reemplaza por completo la estafa de actualización del navegador falso. Es más inteligente, más rápido y más difícil de detectar. Y a menos que entendamos cómo se propaga, solo crecerá. La seguridad ahora significa pensar dos veces sobre lo cotidiano. Incluso una captcha.

¿Alguna vez te has encontrado con un Captcha sospechoso o un extraño mensaje en línea? ¿Qué te indicó o casi te enamoraste? Háganos saber escribiéndonos en Cyberguy.com/contact.

Regístrese para mi informe gratuito de Cyberguy
Obtenga mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas entregadas directamente a su bandeja de entrada. Además, obtendrá acceso instantáneo a mi guía de supervivencia de estafa definitiva, gratis cuando se une a mi Cyberguy.com/newsletter.

Copyright 2025 cyberguy.com. Reservados todos los derechos.

Kurt «Cyberguy» Knutsson es un periodista tecnológico galardonado que tiene un profundo amor por la tecnología, el equipo y los dispositivos que mejoran la vida con sus contribuciones para Fox News & Fox Business Comenzing Mornings en «Fox & Friends». ¿Tienes una pregunta tecnológica? Obtenga el boletín gratuito de Cyberguy de Kurt, comparta su voz, una idea de la historia o comenta en cyberguy.com.

Check Also

“Los psicodélicos son una mina de oro para México, pero los científicos están atados de manos para investigarlos”

“Los psicodélicos son una mina de oro para México, pero los científicos están atados de manos para investigarlos”

Estamos en medio de un renacimiento psicodélico. Imagina que tienes la cura potencial para la …

© Derechos de autor 2025, Todos los derechos reservados