¡Alerta! CAPTCHAs falsos distribuyen malware en sitios web

Los bots desempeñan un papel importante en el panorama actual de Internet y, si bien, algunos como los rastreadores y motores de búsqueda de Google, tienen fines legítimos, cerca de un 40% son clasificados como maliciosos. Los bots pueden utilizarse para actividades dañinas, desde la difusión de discursos polarizantes en las redes sociales hasta ataques distribuidos de denegación de servicio (DDoS) y el secuestro de cuentas. Si bien una herramienta utilizada por los sitios web para detener a estos bots son los CAPTCHA, ESET, compañía líder en detección proactiva de amenazas, explica que esto no quita que sea importante prestarles atención debido a que existen páginas de verificación falsas que se utilizan para distribuir malware.

Las amenazas que utilizan CAPTCHA ocultan sus acciones maliciosas, tanto a quien los utiliza, como al software de seguridad, empleando herramientas legítimas de Windows para pasar desapercibidos. Esta estrategia de verificadores falsos funciona por varias razones:

• La familiaridad con el proceso y la confianza que se tiene en los CAPTCHA como forma legítima de mantener la seguridad en Internet.
• Cierta impaciencia que se puede tener al navegar, ya que a menudo solo se quiere acceder al contenido que se desea y el CAPTCHA se ve como un obstáculo, lo que provoca seguir las instrucciones sin cuestionarlas.
• La costumbre a realizar múltiples pasos de verificación online, como ocurre, por ejemplo, al realizar pagos por Internet.

Hay varias formas de exponerse a un CAPTCHA malicioso. Puede ser un engaño para que haga clic en un enlace malicioso recibido a través de un correo electrónico de phishing, un SMS o un mensaje de redes sociales.

• Hacer clic para «verificar que eres humano»;
• Pulsar la tecla de Windows + R para abrir el comando «Ejecutar»;
• Pulsar CTRL + V para pegar un comando que el malware ha copiado secretamente en el portapapeles;
• Pulsar ENTER para ejecutar el comando anterior.

Para evitar infostealers, troyanos de acceso remoto (RAT) y otras amenazas asociadas a CAPTCHAs maliciosos, desde ESET comparte las siguientes recomendaciones:

• Tener cuidado con las solicitudes CAPTCHA inusuales, como las que piden ejecutar comandos;
• Desconfiar de los CAPTCHA que aparecen de la nada, especialmente en sitios web que normalmente no requieren este tipo de verificación;
• Mantener siempre actualizados el sistema operativo y el navegador, para reducir el riesgo de que los programas maliciosos se aprovechen de antiguos fallos;
• Instalar software de seguridad de un proveedor fiable y mantenerlo actualizado en todo momento: es una de las formas más eficaces de bloquear actividades maliciosas;
• Evitar descargar software pirata, ya que a menudo se utiliza como vector para distribuir programas maliciosos, incluidos los que utilizan CAPTCHA falsos;
• Considerar la posibilidad de utilizar un bloqueador de anuncios para evitar que se cargue contenido potencialmente malicioso a través de anuncios en línea.

En caso de haber desprevenidamente ejecutado los comandos ocultos, desde ESET aconsejas seguir estos pasos:

• Ejecutar un análisis completo con un software de seguridad fiable para identificar y, con suerte, eliminar cualquier malware que se haya instalado silenciosamente;
• Desconectar el dispositivo de Internet y hacer una copia de seguridad de los archivos y fotos importantes;
• Restaurar el ordenador o teléfono móvil a los valores de fábrica, eliminando cualquier posible amenaza persistente;
• Cambiar todas las contraseñas, creando credenciales fuertes y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas;
• Activar la autenticación de doble factor (MFA) en todos los servicios posibles, garantizando una capa adicional de seguridad en caso de que las contraseñas se hayan visto comprometidas.