Los ciberdelincuentes están utilizando páginas falsas que imitan los CAPTCHA legítimos para engañar a los usuarios y robar información personal. Estos sistemas fraudulentos solicitan acciones inusuales, como copiar y pegar comandos en la consola del equipo o descargar software adicional, con el fin de instalar programas maliciosos.

Según ESET, el objetivo principal es la instalación de infostealers, malware diseñado para sustraer datos sensibles como contraseñas, nombres de usuario, fotografías y contactos. En 2024, este tipo de ataques ha afectado a más de 23 millones de personas y ha robado más de 2 mil millones de credenciales, principalmente en equipos con Windows.

Además, los CAPTCHA falsos pueden instalar troyanos de acceso remoto (RAT) que permiten a los atacantes controlar por completo el dispositivo afectado. Para evitar ser víctima, se recomienda desconfiar de verificaciones que pidan acciones inusuales, revisar la URL, identificar apariciones inesperadas de CAPTCHA y evitar actuar con prisa.