Los CAPTCHA que engañan: la trampa disfrazada de seguridad

Hola mis estimados lectores de cada viernes. Imaginemos ahora que estamos navegando por internet, buscando descargar algún documento o acceder a un determinado sitio web, cuando de repente te aparece el típico mensaje de CAPTCHA: "Selecciona todas las imágenes con semáforos". Parece normal, ¿verdad? Pero algo no cuadra. En esta ocasión la página se ve un poco extraña, las letras están pixeladas y, al resolverlo, en lugar de continuar, tu computadora empieza a comportarse de forma sospechosa. Si te ha pasado, podrías haber caído en uno de los engaños más comunes y peligrosos de la red: los CAPTCHA falsos que instalan programas malignos.

Hace unos meses, un conocido amigo me comentó cómo, tras hacer clic en un CAPTCHA aparentemente legítimo, su pantalla se llenó de ventanas emergentes y su antivirus empezó a alertarle sobre actividad maliciosa. Al principio, no lo tomó en serio—¿qué daño podría hacer una simple prueba de verificación? —pero horas después, sus archivos estaban cifrados y un mensaje de rescate aparecía en su pantalla. No era un simple error, sino un ataque de ransomware (secuestro de datos) disfrazado de prueba de seguridad.

Captcha, viene del acrónimo del inglés "Completely Automated Public Turing Test to Tell Computers and Humans Apart" que significa Prueba de Turing pública completamente automatizada para diferenciar ordenadores y humanos. Constituye la principal tecnología para generar pruebas fáciles de completar para los humanos, pero difíciles de atacar para los programas informáticos. Es ampliamente utilizado para defenderse de programas robot inesperados en Internet y se utiliza desde hace años en muchos sitios web, como Google, Microsoft y Apple. El esquema de texto más utilizado es siempre en forma de imagen que contiene caracteres distorsionados en varios fondos y requiere que los usuarios terminen una tarea de reconocimiento de texto.

De hecho, muchos investigadores se han centrado en la ruptura de captchas. Numerosos trabajos de la literatura científica han demostrado que la mayoría de los basados en texto existentes pueden romperse fácilmente mediante métodos tradicionales de aprendizaje automático o aprendizaje profundo. Por ello, muchos adoptaron otros esquemas y exigieron a los usuarios que completaran tareas adicionales para superar la prueba. Por ejemplo, se han propuesto esquemas basados en imágenes que incluyen ciertas acciones, como hacer clic y deslizar una imagen sobre otra.

Sin embargo, ¿qué pasa cuando esta misma herramienta de seguridad es utilizada en nuestra contra? En los últimos años, los ciberdelincuentes han perfeccionado una técnica engañosa: CAPTCHA falsos que, en lugar de proteger, instalan malware en los dispositivos de los usuarios desprevenidos.

Ahora bien, pero ¿por qué confiamos tanto en los CAPTCHA? En el caso de los que son reales, están diseñados para protegernos, pero los ciberdelincuentes saben que los usuarios suelen resolverlos sin pensarlo dos veces. Resulta irónico que un mecanismo diseñado para mejorar la seguridad se haya convertido en un vector de ataque. Los CAPTCHA maliciosos funcionan bajo una premisa simple pero efectiva: aprovechar la confianza del usuario. Por eso, crean versiones falsas en páginas de descargas pirata, enlaces engañosos o incluso en anuncios publicitarios. Al interactuar con ellos, en lugar de demostrar que eres un humano, sin querer instalas un programa malicioso que puede robar tus contraseñas, espiar tu actividad o bloquear tus archivos hasta que pagues por recuperarlos.

Un caso reciente documentado por investigadores de ciberseguridad involucró a una supuesta plataforma de descarga de documentos PDF. Los usuarios que intentaban acceder al archivo se encontraban con un CAPTCHA que, al resolverlo, les pedía instalar un "visualizador especial". Lo que en realidad descargaban era un keylogger que robaba credenciales bancarias. Lo más preocupante es que muchas víctimas ni siquiera notaron el engaño hasta que fue demasiado tarde.

A diferencia de los CAPTCHA legítimos, que suelen estar integrados en sitios web confiables, las versiones maliciosas suelen aparecer en contextos sospechosos:

1. Sitios de Descargas Pirata o Streaming Ilegal: Muchas páginas que ofrecen contenido gratuito utilizan CAPTCHA falsos como carnada. Al "verificar que no eres un robot", en realidad activas la descarga de un ejecutable malicioso.
2. Anuncios Pop-up Agresivos: Algunos banners publicitarios simulan ser CAPTCHA urgentes ("¡Verifica tu conexión para continuar!") y, al interactuar con ellos, redirigen a páginas de phishing.
3. Correos Electrónicos con Imágenes Engañosas: Un nuevo método incluye emails con CAPTCHA incrustados que, al ser resueltos, confirman al atacante que la víctima ha abierto el mensaje (y posiblemente ha activado macros o scripts peligrosos).

Un CAPTCHA malicioso suele tener detalles que delatan su falsedad: errores ortográficos, diseños desactualizados o enlaces que redirigen a dominios extraños. A veces, incluso después de resolverlo correctamente, te piden descargar un "complemento" o ejecutar un archivo, algo que los CAPTCHA genuinos nunca hacen. La regla de oro es clara: si algo parece sospechoso, lo mejor es cerrar la pestaña de inmediato.

Los expertos en ciberseguridad recomiendan mantener el software actualizado, usar extensiones que bloqueen ventanas emergentes y, sobre todo, desconfiar de los CAPTCHA que aparecen en sitios no confiables. Porque en internet, a veces, las cosas más inocentes esconden los mayores peligros.

Así que la próxima vez que te encuentres con un CAPTCHA, tómate un segundo para observarlo bien. Podría ser la diferencia entre navegar seguro o convertirte en la próxima víctima de un ataque disfrazado de prueba de robots. Después de todo, en el ciberespacio, hasta lo más cotidiano puede ser una trampa. Por hoy nos despedimos hasta la próxima semana.

Tomado de Cubadebate