En Internet nada es lo que parece, algo que también incluye los clásicos test de “No soy un robot”. La Policía Nacional ha lanzado una advertencia sobre una nueva técnica de engaño que utiliza CAPTCHAs falsos como puerta de entrada para robar datos o instalar malware en los dispositivos. Aunque estos elementos de seguridad están diseñados para proteger, los ciberdelincuentes les han dado la vuelta para hacer justo lo contrario.

El engaño consiste en mostrar una supuesta verificación en forma de CAPTCHA que, realmente, es un señuelo. Al clicar en él, el usuario puede estar aceptando sin saberlo la instalación de software malicioso o incluso facilitando el acceso remoto al equipo. En apariencia, todo luce normal, pero detrás se esconde el peligro.

Cuidado con estos CAPCHAs

Los CAPTCHAs falsos son réplicas visuales casi idénticas a los originales, como los típicos cuadros para marcar “No soy un robot” o los que piden identificar semáforos o pasos de cebra. El problema radica en que, en lugar de verificar si el usuario es humano, lo que hacen es iniciar una descarga o ejecutar código malicioso en segundo plano.

“No soy un robot”➡️ ¿Te suenan frases como ésta cuando navegas por Internet?💻📱

Se trata de un #captcha, pero…

⚠️ También existen los captchas falsos o #fakecaptcha⚠️

¿Cómo afectan a tu #ciberseguridad?
¿Cómo detectarlos?

⬇️Atento⬇️ pic.twitter.com/ylXP0q5tx2

— Policía Nacional (@policia) July 3, 2025

Una de las variantes más peligrosas solicita al usuario copiar y pegar un código en la consola del navegador. Este tipo de indicación, que nunca forma parte de un CAPTCHA legítimo, otorga al atacante la capacidad de ejecutar comandos en el sistema de la víctima. Resulta una trampa que aprovecha el desconocimiento técnico para colarse sin levantar sospechas.

También existen casos en los que se instala directamente un archivo camuflado. A veces se trata de una aplicación maliciosa que el usuario acepta sin percatarse, pensando que es parte del proceso de verificación.

La Policía Nacional recomienda prestar atención a varios detalles para identificar un posible fraude. Por ejemplo, si el CAPTCHA aparece en una página poco conocida, se muestra en sitios donde antes no se solicitaba verificación, o tras pulsar en él se inicia una descarga inesperada. Otra señal clara de peligro es que la página carezca de certificado HTTPS, es decir, que no muestre el candado de seguridad en la barra del navegador.

Para protegerse, los expertos recomiendan mantener siempre actualizado el sistema operativo y el antivirus, evitar ejecutar archivos descargados tras resolver un CAPTCHA y nunca copiar o pegar comandos en la consola del navegador a menos que se sepa con certeza lo que se está haciendo. Si ya se ha interactuado con un CAPTCHA sospechoso, es aconsejable cambiar las contraseñas cuanto antes y activar la verificación en dos pasosen las cuentas más sensibles.

En caso de sospecha de infección o robo de datos, es recomendable contactar con el Instituto Nacional de Ciberseguridad (INCIBE) a través del número gratuito 017 o acudir a una comisaría para presentar una denuncia. Actuar rápido puede marcar la diferencia entre un susto y un problema mayor, ya que en Internet un simple clic puede iniciar un ataque.