Los cibercriminales han encontrado una innovadora estrategia para explotar la tecnología de verificación CAPTCHA, diseñada para diferenciar entre usuarios humanos y bots, utilizando esta herramienta como un medio para sustraer información personal y financiera.
Los CAPTCHA, que comúnmente aparecen como pequeños desafíos en sitios web para asegurar la autenticidad del usuario, están siendo replicados en versiones fraudulentas que parecen legítimas. Este nuevo enfoque de estafa comienza con anuncios engañosos que redirigen a los incautos a páginas fraudulentas. Al acceder a estas, los usuarios se enfrentan a un CAPTCHA falso que les solicita realizar acciones específicas, como copiar y pegar un comando de PowerShell.
Al ejecutar dicho comando, sin darse cuenta, los usuarios instalan un malware en sus dispositivos. Este software malicioso tiene la capacidad de extraer una amplia gama de datos sensibles, que incluye:
- Credenciales de inicio de sesión: Contraseñas guardadas en navegadores, claves de criptomonedas y cookies de autenticación.
- Datos financieros: Información bancaria y datos de tarjetas de crédito.
- Archivos personales: Documentos, fotos y otros archivos del dispositivo.
Además, los cibercriminales pueden utilizar este malware para generar tráfico artificial en sitios de comercio electrónico, lo que les permite obtener ganancias ilícitas adicionales. La alerta se emite para que los usuarios sean cautelosos y verifiquen siempre la autenticidad de los sitios web que visitan y las acciones que realizan en línea.
