La Policía Cibernética de la Secretaría de Seguridad Ciudadana de la Ciudad de México (SSC-CDMX) lanzó una alerta por una nueva modalidad de fraude digital conocida como “captcha falso”, un engaño que utiliza supuestas pantallas de verificación para instalar malware y robar información bancaria, contraseñas y datos personales.
Aunque a simple vista parece un sistema normal para comprobar que el usuario “no es un robot”, en realidad se trata de una técnica de ingeniería social diseñada para tomar el control del dispositivo de la víctima.
Las autoridades advirtieron que este tipo de fraude puede afectar tanto computadoras como celulares y que, en algunos casos, los delincuentes logran acceder a cuentas bancarias, redes sociales, correos electrónicos e incluso archivos personales almacenados en el equipo.
Así funciona el captcha falso
De acuerdo con la SSC-CDMX, el ataque inicia cuando el usuario entra a una página web aparentemente normal o recibe una ventana emergente que imita a la perfección un sistema captcha. Sin embargo, en lugar de pedir seleccionar imágenes o marcar una casilla, la página solicita copiar y ejecutar un código como “paso adicional de seguridad” y aquí es donde entra el riesgo.
Cuando la persona copia y pega el código en su computadora, el sistema instala un software malicioso sin que el usuario lo note. A partir de ese momento, los ciberdelincuentes pueden monitorear la actividad del dispositivo, robar contraseñas o incluso controlar el equipo de forma remota.
El truco psicológico detrás del fraude del captcha
La Policía Cibernética explicó que el éxito de este engaño se basa en la confianza que las personas tienen en los captcha tradicionales. Millones de usuarios están acostumbrados a realizar verificaciones rápidas al navegar por internet, por lo que los atacantes aprovechan esa rutina para reducir sospechas y lograr que las víctimas ejecuten instrucciones peligrosas.
El problema es que muchos usuarios creen que están siguiendo un proceso legítimo de seguridad cuando en realidad están abriendo la puerta al malware.
Señales de alerta que no debes ignorar
Las autoridades advirtieron que ningún captcha legítimo pide ejecutar comandos, abrir la consola de Windows o pegar instrucciones en el sistema operativo. Por ello, si una página solicita copiar códigos, abrir programas internos del equipo o ejecutar instrucciones manualmente, se trata de una señal clara de fraude.
También se debe desconfiar de páginas que soliciten contraseñas, datos bancarios o información personal como parte de una “verificación”. Otra recomendación importante es revisar siempre la dirección web antes de interactuar con cualquier sitio, especialmente si apareció mediante anuncios, enlaces desconocidos o ventanas emergentes.
¿Qué puede pasar si ejecutas el código?
Las consecuencias pueden ir mucho más allá de un simple virus. La SSC-CDMX explicó que el malware puede permitir el robo de credenciales bancarias, acceso a redes sociales, espionaje de información privada e incluso secuestro de archivos.
En algunos casos, los delincuentes utilizan programas capaces de registrar todo lo que el usuario escribe en el teclado, incluyendo contraseñas y datos financieros. También existe el riesgo de perder completamente el control del dispositivo o sufrir fraudes económicos relacionados con transferencias y compras no autorizadas.
¿Cómo protegerte del captcha falso?
La Policía Cibernética recomendó no copiar ni ejecutar códigos provenientes de páginas desconocidas o ventanas emergentes. Además, pidió mantener actualizado el sistema operativo, el navegador y el antivirus para reducir riesgos de infección.
Otra medida importante es evitar descargar archivos desde enlaces sospechosos y desconfiar de sitios que presionen al usuario con mensajes urgentes o amenazas de bloqueo. Las autoridades insistieron en que la educación digital sigue siendo una de las herramientas más importantes para evitar este tipo de ataques.
¿Cómo reportar un caso sospechoso?
La SSC-CDMX puso a disposición de los ciudadanos distintos canales para reportar actividades sospechosas relacionadas con fraudes digitales y ciberataques. Las personas pueden comunicarse al teléfono 55 5242 5100, extensión 5086, o escribir al correo policia.cibernetica@ssc.cdmx.gob.mx.
También se pueden consultar alertas y recomendaciones en las cuentas oficiales de redes sociales de la Secretaría de Seguridad Ciudadana.
