La FTC alertó sobre una estafa de phishing basada en CAPTCHA que puede instalar malware si las víctimas siguen las instrucciones. El programa malicioso puede habilitar el acceso a cuentas y la sustracción de credenciales, incluidos inicios de sesión de correo y datos bancarios.

La FTC emitió una alerta sobre un esquema de phishing que imita los avisos de verificación CAPTCHA mientras entrega malware oculto en el dispositivo de la víctima. Según la agencia, recibió reportes en los que los estafadores presentan una supuesta etapa de “comprobación” o “verificación”, pidiendo a las personas que ejecuten comandos en su equipo. En lugar de funcionar como una prueba de seguridad inofensiva, el aviso —según alega la FTC— se usa como mecanismo de entrega para comprometer el sistema. Tras seguir esas instrucciones maliciosas, la FTC advierte que podría instalarse el malware. Luego, ese software puede facilitar el robo de credenciales sensibles, como los accesos de correo electrónico y las credenciales bancarias. El fraude se apoya en la confianza que muchas personas depositan en flujos de seguridad y contra-bot habituales —como los CAPTCHA— para que la conducta maliciosa parezca legítima. La orientación de la FTC subraya el peligro de responder a solicitudes de verificación inesperadas ejecutando comandos. En general, los proveedores legítimos no piden a los usuarios que ejecuten comandos para “completar” un CAPTCHA. La advertencia también encaja con una tendencia más amplia: los atacantes están disimulando cada vez más los pasos iniciales de compromiso como revisiones rutinarias de seguridad y, después, pasan rápidamente a monetizar mediante el secuestro de cuentas y el fraude financiero. Para los consumidores, el riesgo clave es que un aviso con temática de CAPTCHA no es una prueba de autenticidad: una vez activada la fase del malware, las víctimas pueden perder el acceso a sus cuentas y credenciales. Fuente: asesoría para consumidores de la FTC con fecha 8 de junio de 2026.