La Policía Cibernética de la Secretaría de Seguridad Ciudadana de la Ciudad de México alertó sobre una nueva modalidad de fraude en línea que utiliza sistemas de verificación CAPTCHA falsificados para infectar dispositivos con software malicioso y robar información sensible.
Mecanismo de engaño sofisticado
Las autoridades explicaron que estos CAPTCHA fraudulentos simulan ser mecanismos legítimos de verificación, comúnmente utilizados para distinguir usuarios humanos de bots automatizados.
“Un CAPTCHA falso simula ser un mecanismo legítimo de verificación, el cual puede ser utilizado como vehículo para la instalación de malware en los dispositivos de los usuarios desprevenidos y sustraer información sensible o tomar el control del equipo”
, señalaron los representantes de la policía capitalina.
Modus operandi del ataque
El método de operación consiste en suplantar un sistema legítimo de verificación para ganarse la confianza del usuario. Los atacantes crean páginas o ventanas que imitan fielmente un CAPTCHA real y las presentan como un requisito obligatorio para continuar navegando.
“La víctima es guiada a seguir instrucciones que aparentan ser normales, pero que en realidad tienen un carácter malicioso, como copiar un código o ejecutar comandos en el dispositivo”
, detalló la Policía Cibernética.
Una vez que la víctima confía en la apariencia del sitio y ejecuta la acción solicitada, activa un mecanismo oculto que desencadena la instalación de malware. Esto permite al atacante obtener acceso al dispositivo, sustraer información confidencial o tomar control completo del equipo.
Recomendaciones de seguridad
Ante este riesgo, la Unidad de Policía Cibernética emitió una serie de recomendaciones para proteger a los usuarios: no copiar ni ejecutar códigos, comandos o instrucciones provenientes de sitios web no verificados; desconfiar de páginas que soliciten acciones inusuales para validar la identidad; verificar siempre la autenticidad de los sitios web antes de interactuar con ellos; actualizar el sistema operativo, navegador y software de seguridad; evitar proporcionar datos personales, contraseñas o credenciales en páginas de origen desconocido; y no descargar o ejecutar archivos o enlaces sospechosos.
Las autoridades también instaron a la población a reportar cualquier actividad sospechosa y fomentar la educación y prevención digital para reducir el riesgo de este tipo de amenazas.
Canales de denuncia
En caso de ser víctima de fraude, la Policía Cibernética está disponible a través del teléfono 55 5242 5100 extensión 5086, o mediante el correo electrónico policia.cibernetica@ssc.cdmx.gob.mx. También cuentan con cuentas oficiales en redes sociales como @SSC_CDMX y @UCS_GCDMX en X (antes Twitter).
