Netcrook Logo
👤 CRYSTALPROXY
🗓️ 24 Feb 2026  

El fraude del CAPTCHA: Cómo los falsos controles de seguridad desataron la epidemia del infostealer ClickFix

Una nueva generación de campañas de phishing utiliza falsos mensajes CAPTCHA para propagar malware avanzado de robo de información, apuntando a navegadores, billeteras y VPNs en todo el mundo.

Todo comienza con un reto sencillo: “Demuestra que no eres un robot”. Pero detrás de ese familiar mensaje CAPTCHA, una sofisticada campaña cibercriminal está secuestrando sistemas en todo el mundo de manera silenciosa. En un giro escalofriante de la ingeniería social, los atacantes están utilizando CAPTCHAs falsos para engañar a los usuarios y hacer que liberen el infostealer ClickFix, una cepa de malware diseñada para saquear silenciosamente credenciales, billeteras de criptomonedas y secretos de VPN de víctimas desprevenidas.

Disecando la operación ClickFix

Analistas de seguridad de CyberProof MDR han rastreado el origen de esta campaña hasta una oleada de sitios web comprometidos. En lugar de los típicos correos de phishing, estos sitios presentan a los visitantes un CAPTCHA convincente pero falso. Las víctimas, creyendo que se trata de un paso rutinario de seguridad, son engañadas para ejecutar comandos de PowerShell - muchas veces copiando y pegando el código según las instrucciones del sitio. Esto desencadena una reacción en cadena: un script inicial de PowerShell descarga un archivo llamado cptch.bin desde infraestructura controlada por los atacantes, utilizando herramientas avanzadas como Donut para ejecutar código malicioso directamente en memoria y evitar la detección.

La infección ocurre en varias etapas. Tras la primera carga, un segundo script intenta descargar shellcode adicional, cada fase diseñada para evadir los controles de seguridad. Los analistas identificaron errores operativos - como el uso de la variable $finalPayload - que alertaron a Microsoft Defender, pero no antes de que el malware hubiera infiltrado numerosos sistemas.

Una vez incrustado, ClickFix no es solo un ladrón de una sola vez. Modifica el registro del sistema para asegurarse de que se ejecute tras cada reinicio, manteniendo una puerta trasera persistente. Desde allí, apunta a una amplia gama de aplicaciones: Chrome, Edge, Brave, Tor y más, así como VPNs como NordVPN y Mullvad, y billeteras de criptomonedas como MetaMask y Exodus. Los datos sensibles son extraídos hacia servidores remotos, todo mientras la víctima permanece ajena.

Los indicadores de compromiso incluyen direcciones IP y hashes de archivos sospechosos, pero el verdadero peligro reside en la adaptabilidad de la campaña. Al combinar ingeniería social con sigilo técnico, los atacantes están eludiendo las defensas tradicionales y explotando el comportamiento cotidiano de los usuarios.

Cómo adelantarse al phishing

Los expertos instan a las organizaciones a adoptar una defensa en capas: restringir el acceso a funciones riesgosas del sistema, reforzar el uso de PowerShell, aplicar controles estrictos de aplicaciones y - fundamentalmente - educar a los usuarios sobre los peligros de seguir instrucciones de páginas web no confiables. A medida que los ciberdelincuentes continúan perfeccionando sus tácticas, solo una combinación de monitoreo vigilante, detección avanzada de amenazas y concienciación de los usuarios puede mitigar el impacto de estos ataques en evolución.

El fraude del CAPTCHA es un recordatorio aleccionador: a veces, la mayor amenaza se esconde tras la fachada más familiar.

WIKICROOK

  • Infostealer: Un infostealer es un malware diseñado para robar datos sensibles - como contraseñas, tarjetas de crédito o documentos - de computadoras infectadas sin que el usuario lo sepa.
  • PowerShell: PowerShell es una herramienta de scripting de Windows utilizada para automatización, pero los atacantes suelen aprovecharla para realizar acciones maliciosas de forma sigilosa.
  • Mecanismo de Persistencia: Un mecanismo de persistencia es un método utilizado por el malware para mantenerse activo en un sistema, sobreviviendo a reinicios e intentos de eliminación por parte de usuarios o herramientas de seguridad.
  • Inyección de Procesos: La inyección de procesos ocurre cuando el malware se oculta dentro de procesos de software legítimos, dificultando que las herramientas de seguridad detecten y eliminen la amenaza.
  • Ingeniería Social: La ingeniería social es el uso del engaño por parte de hackers para que las personas revelen información confidencial o permitan el acceso no autorizado a sistemas.
CAPTCHA ClickFix Infostealer
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news