La FTC señala que los estafadores están empleando pantallas similares a CAPTCHA para engañar a las víctimas y hacer que ejecuten comandos que instalan malware oculto. Tras la instalación, los delincuentes podrían robar inicios de sesión de correo y credenciales de banca móvil.

La FTC advierte que los estafadores recurren cada vez más a falsos pop-ups de “CAPTCHA/verificación de seguridad” para llevar a las personas a comprometer sus dispositivos. En lugar de realizar un control legítimo contra bots, los mensajes piden acciones que aparentan ser habituales, como aprobar comandos del dispositivo o seguir pasos que se presentan como necesarios para “confirmar” la identidad. Según la agencia, el proceso puede instalar malware que permanece en segundo plano mientras brinda acceso a cuentas sensibles. La FTC indica que, una vez instalado el malware, los atacantes pueden recopilar las credenciales usadas para iniciar sesión en el correo y luego enfocarse en objetivos de mayor valor, incluida la banca móvil. Este método busca reducir la sospecha: al usar pantallas CAPTCHA, el engaño resulta familiar para muchos usuarios, y la urgencia implícita en la palabra “verificación” puede empujar a actuar con rapidez en vez de detenerse y comprobar si el aviso es legítimo. La guía de la FTC subraya que los desafíos de CAPTCHA no deberían requerir descargar software ni ejecutar comandos en el dispositivo. Por ello, recomienda desconfiar de los pop-ups que se desvíen del comportamiento esperado de un CAPTCHA y tratar las afirmaciones de “verificación de seguridad”—especialmente si están vinculadas a la captura de credenciales o al control del dispositivo—como una posible estafa.