Los pequeños cuadros que aparecen en las páginas web solicitando seleccionar semáforos, escribir letras distorsionadas o hacer clic en “No soy un robot” se han convertido en parte cotidiana de la navegación en internet.

Estos métodos de verificación que todos hemos visto al menos una vez, son conocidos por tener una pequeña verificación con cuadros para confirmar la identidad humana, sin embargo, han sido adoptados por ciberdelincuentes, quienes han encontrado una manera de transformar esta medida que protegía a los usuarios en una nueva arma de engaño.

El arma de doble filo

Estos mecanismos de autenticación fueron creados con un fin especifico: logar distinguir entre usuarios humanos y programas que han sido programados para saturar páginas web.

Sin embargo, la familiaridad y la confianza que los usuarios han desarrollado hacia estos sistemas se ha convertido en su talón de Aquiles. Los estafadores digitales han comenzado a crear versiones falsificadas de estos verificadores para distribuir software malicioso, aprovechando la tendencia de las personas a seguir automáticamente las instrucciones sin cuestionar su legitimidad.

Ejemplos de Captcha falsos tomados por ESET. | Foto: ESET

Según expertos en ciberseguridad de ESET, empresa especializada en la identificación temprana de amenazas digitales, estas páginas fraudulentas representan un riesgo creciente.

“Cuando se está frente a unCAPTCHA solemos seguir las instrucciones y hacer clic sin pensar demasiado. Al fin y al cabo, se supone que mantiene alejados a los bots, pero no siempre es así. En algunos casos, la propia página es falsa y puede meterte en problemas”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La forma para aprovechar momentos y engañar

Esta modalidad de fraude sumamente efectiva debido a diferentes factores psicológicos y comportamentales que los delincuentes explotan hábilmente:

La confianza establecida en estos métodos de seguridad en línea hicieron que los usuarios bajen la guardia naturalmente. Además, el afán que se suele tener al navegar hace ver estos verificadores como meros obstáculos entre ellos y el contenido que desean, provocando que sigan las instrucciones sin dudar.

Otra forma que influye es la experiencia a la que están acostumbrados los usuarios con el tipo de proceso de verificación múltiple mientras se encuentran en actividades cotidianas como compras en línea o acceso a servicios bancarios, lo que normaliza la realización de varios pasos de autenticación.

Estos sistemas maliciosos utilizan herramientas legítimas del sistema operativo Windows para mantenerse ocultos tanto de los usuarios como de los programas antivirus, haciendo que su detección sea más complicada.

Una acción cotidiana en internet se transformó en el disfraz ideal para los estafadores. | Foto: Getty Images

La forma para caer en este tipo de fraude puede suceder de diferentes maneras, tanto a través de enlaces engañosos (phishing) los cuales se envían a las victimas a través de correos electrónicos, SMS y publicaciones en redes sociales.

También existe la posibilidad de encontrarlos en sitios web genuinos que han sido comprometidos por ciberdelincuentes, quienes insertan contenido malicioso o publicidad fraudulenta.

Cuando aparece el cuadro verificador falso, puede lucir completamente auténtico. Sin embargo, las acciones que solicita deberían activar las alarmas de seguridad de los usuarios.

En lugar de las tareas habituales como identificar objetos en imágenes o transcribir texto distorsionado, estos sistemas fraudulentos pueden solicitar acciones como:

Hacer clic para “confirmar que es humano”

Presionar combinaciones específicas de teclas como Windows + R

Usar Ctrl + V para pegar comandos que el software malicioso ha copiado secretamente

Presionar Enter para ejecutar dichos comandos.