Una herramienta de Google se convierte en la inesperada aliada de ciberdelincuentes que estafan con 'phising', según expertos de una firma de seguridad informática

• Los sistemas captcha de Google, que sirven para segurizar formularios en internet, se han convertido en un inesperado aliado de los ciberdelincuentes que emplean técnicas de phising.
• Estos sistemas son los que exigen una doble comprobación para evitar que bots rellenen de forma automática formularios, y los hackers los incluyen en sus páginas fraudulentas para que los usuarios piensen que se trata de un formulario verdadero.
• Los expertos de Barracuda, una firma de seguridad informática, aseguran que además de este modo son capaces de saltarse los bloqueos de antivirus de los proveedores de correo electrónico.
• Descubre más historias en Business Insider España.

Nadie podía esperar que una herramienta de Google se convirtiera en una poderosa aliada de los ciberdelincuentes. Pero los expertos de Barracuda, una firma especializada en seguridad informática, aseguran que así es.

Se trata del reCaptcha, el sistema captcha de Google. Si alguna vez has tenido que rellenar un formulario para registrarte o iniciar sesión en una página web, es muy probable que te hayas topado con esta herramienta: es un sistema con el que Google seguriza los formularios digitales.

La utilidad en cuestión pide a los usuarios que seleccionen todos los recuadros de la imagen en la que aparezcan semáforos, carreteras, tejados, etc. De este modo, el formulario se blinda a pruebas de bots. reCaptcha es el sistema de Google que seguriza estos formularios, dentro de otros Captchas también muy habituales, como los que piden que escribas las letras que aparecen en una imagen distorsionada —para que los bots tampoco consigan acceder, al no poder descifrar los caracteres—.

Leer más: Ya no tendrás que demostrar que eres un humano: Google actualiza su reCaptcha y ahora es un peligro para tu privacidad

¿Cómo se han aprovechado los hackers de esta utilidad? Sencillamente, incluyéndola en formularios fraudulentos. Una estafa con phising trata de hacer creer a las víctimas que están entregando sus contraseñas en un formulario legítimo, cuando en realidad se trata de un formulario falso cuyo destinatario en realidad es el ciberdelincuente.

Así están utilizando los ciberdelincuentes los reCaptcha de Google

Para ello, hackers criminales incluyen todos los elementos necesarios para hacer creer a sus objetivos que están registrándose con su contraseña en la página real del banco. Por ello suplantan marcas, logos comerciales... e introducen el uso del reCaptcha de Google, para que los usuarios piensen que se trata de un formulario auténtico y seguro.

Es lo que ha detectado un estudio de Barracuda, una firma especializada en seguridad informática. Según recoge Forbes, Barracuda ha detectado más de 100.000 correos con phising usando reCaptchas reales, frente a uno que incluía una caja de reCaptcha que sí que era falsa.

Pero además, el reCaptcha no lo están usando los cibercriminales solo para pretender que sus víctimas crean que se trata de un formulario real: tiene un segundo uso.

Leer más: Los hackers están mejorando la forma en la que engañan a la gente para que entregue sus contraseñas: esto es lo que hay que tener en cuenta, según los expertos

El reCaptcha sirve para bloquear por defecto los registros de antivirus de los correos electrónicos, por lo que mediante el reCaptcha, los ciberdelincuentes son capaces de enviar sus correos estafa sin que las bandejas de entrada los puedan, a priori, bloquear.

"Los correos con phising contienen un código HTML que redirige a una página en la que solo aparece el reCaptcha. La página no contiene ninguna otra cosa que el reCaptcha, por lo que los sistemas de protección [de la bandeja de entrada del correo] no emiten ninguna alerta al usuario".

Para mitigar los riesgos de un posible ataque con phising que implique el uso de reCaptchas de Google, los expertos de Barracuda recuerdan que es esencial que los usuarios se conciencien: un sistema captcha no implica instantáneamente que el formulario sea legítimo. Comprueba habitualmente la dirección de la web en la que estás ingresando tus datos, y si tienes dudas, no dudes en resolverla con expertos.