Alertan por estafa con CAPTCHAs falsos — un clic y te roban todo

Pantalla de computadora con alerta de seguridad por estafa CAPTCHA
Los CAPTCHAs falsos imitan a la perfección las verificaciones legítimas — pero ejecutan malware en segundo plano.

¿Te ha aparecido un CAPTCHA pidiéndote que presiones Windows + R, luego Ctrl + V y después Enter para "verificar que eres humano"?

Si lo hiciste, probablemente ya infectaste tu computadora.

La Comisión Federal de Comercio (FTC) y departamentos de policía en todo Estados Unidos han emitido alertas sobre una nueva ola de estafas que utilizan CAPTCHAS falsos para instalar malware en equipos de víctimas desprevenidas.

Esto no es un error técnico ni una actualización de seguridad. Es una estafa perfectamente diseñada para engañar incluso a usuarios avanzados.

¿Cómo funciona la estafa del CAPTCHA falso?

Todo empieza cuando navegas por un sitio web — muchas veces pirateado o fraudulento — y de repente aparece un CAPTCHA que luce exactamente igual al real.

En lugar de pedirte que identifiques semáforos o transcribas texto, el CAPTCHA falso te muestra instrucciones como:

La página muestra mensajes como "verificación de seguridad" o "confirmación humana" para que el usuario no sospeche. Pero ningún CAPTCHA legítimo te pide ejecutar comandos. Punto.

¿Qué roban exactamente?

Una vez que el malware se instala, los estafadores pueden acceder a:

Según el Informe de Estafas de la FTC de 2026, las pérdidas por estafas superaron los $15.9 mil millones el año pasado, con más de $3.5 mil millones solo en estafas de suplantación de identidad.

Cómo detectar un CAPTCHA falso (guía rápida)

Identificar estas estafas es más fácil de lo que crees si sabes qué buscar. Aquí van 5 señales de alerta:

  1. Te pide ejecutar comandos. Si un CAPTCHA te dice que presiones teclas del sistema operativo, es falso. Los CAPTCHAs reales solo te piden hacer clic en imágenes o transcribir texto.
  2. La URL del sitio no coincide. Los sitios pirateados suelen tener URLs extrañas o redirecciones sospechosas. Verifica la barra de direcciones antes de hacer clic.
  3. Aparece de la nada. Los CAPTCHAs falsos suelen aparecer sin que hayas realizado ninguna acción que los justifique (como enviar un formulario).
  4. Dice "verificación de seguridad" genérica. Las páginas legítimas usan marcas reconocibles (reCAPTCHA de Google, hCaptcha). Los banners genéricos de "seguridad" son sospechosos.
  5. Descarga archivos automáticamente. Si después del CAPTCHA ves que algo se descarga o el navegador hace cosas raras, ya es tarde: ejecuta un análisis antivirus inmediatamente.

Qué hacer si ya caíste en la estafa

Si presionaste las teclas y crees que tu computadora está infectada, actúa rápido. Sigue estos pasos en orden:

Paso 1: Ejecuta un análisis de seguridad completo

Usa Windows Defender o cualquier antivirus de confianza. Escanea todo el sistema en modo offline si es posible. El malware instalado por CAPTCHAs falsos suele ser un ladrón de información (info-stealer) que puede detectarse con escaneos completos.

Paso 2: Cambia tus contraseñas desde otro dispositivo

No cambies las contraseñas desde la misma computadora infectada. Usa un celular, tablet o computadora limpia. Prioriza: correo electrónico, banca en línea, redes sociales. Activa autenticación de dos factores (2FA) en todas las cuentas que lo permitan.

Paso 3: Revisa sesiones activas

La mayoría de servicios (Google, Microsoft, Facebook) permiten ver y cerrar sesiones activas desde la configuración de seguridad. Cierra todas las sesiones que no reconozcas.

Paso 4: Reporta la estafa

En Estados Unidos, repórtalo en ReportFraud.ftc.gov. En Latinoamérica, contacta a la policía cibernética local o la división de delitos informáticos de tu país.

¿Por qué está funcionando esta estafa?

Los CAPTCHAs son tan ubicuos en internet que hemos aprendido a completarlos sin pensar. Es un acto reflejo: ves un CAPTCHA, lo resuelves y sigues navegando. Los estafadores están explotando precisamente ese piloto automático.

Además, las instrucciones de "Windows + R, Ctrl + V, Enter" se sienten técnicas. El usuario promedio piensa "esto debe ser una verificación avanzada" en vez de preguntarse por qué un sistema de verificación humana necesita acceso al sistema operativo.

Protege tu PC: 3 reglas de oro

  1. Si un sitio te pide ejecutar comandos, ciérralo inmediatamente. No importa si muestra logos de Google o Microsoft. Los CAPTCHAs legítimos NUNCA hacen esto.
  2. Mantén tu sistema actualizado. Las últimas versiones de Windows, Chrome y Edge incluyen protecciones contra este tipo de ataques.
  3. Usa un bloqueador de anuncios. Muchas de estas estafas llegan a través de redes publicitarias comprometidas. uBlock Origin es gratuito y eficaz.

La estafa no discrimina

A diferencia de los phishing tradicionales (que suelen tener errores ortográficos o diseño pobre), estos CAPTCHAs falsos están muy bien hechos. Las alertas de la FTC y de departamentos de policía en Illinois, California y Nueva York confirman que ya ha afectado a miles de usuarios, incluyendo a personas técnicamente informadas.

Comparte esto con alguien que todavía cree que "a mí no me va a pasar". Porque la estafa del CAPTCHA falso es tan simple como devastadora: un clic y perdiste todo.