Desde mediados de 2023, una campaña bautizada ClearFake viene comprometiendo sitios WordPress para colar CAPTCHA falsos que, en vez de verificar que sos humano, te clavan malware en la máquina. Para junio de 2026, los analistas de seguridad calculan que más de 15.000 sitios fueron intervenidos con esta técnica y cientos de miles de usuarios quedaron expuestos a robo de credenciales, cookies de sesión y billeteras cripto. No es phishing común: es ingeniería social con una vuelta de tuerca que aprovecha la confianza que todos tenemos en los CAPTCHA legítimos.
Las estafas con CAPTCHA falso son un vector de ataque donde un sitio web comprometido —generalmente WordPress— muestra una verificación visual idéntica a reCAPTCHA de Google o Cloudflare Turnstile, pero que al interactuar copia un comando malicioso al portapapeles y le pide a la víctima que lo ejecute manualmente en su equipo. Fueron detectadas por primera vez en julio de 2023 dentro de la campaña ClearFake y desde entonces evolucionaron con métodos como ClickFix y EtherHiding para volverse más difíciles de bloquear.
En 30 segundos
- ClearFake compromete sitios WordPress desde 2023 y para 2026 los infectados superan los 15.000, con más de 200.000 usuarios expuestos al malware.
- El método ClickFix te muestra un CAPTCHA falso que copia un script PowerShell al portapapeles y te pide que lo ejecutes con Win+R para «verificar» tu identidad.
- Distribuye Lumma Stealer, Vidar Stealer, AsyncRAT y al menos otros cuatro RAT que roban credenciales, cookies, billeteras cripto y permiten acceso remoto al equipo.
- Los CAPTCHA legítimos nunca te piden ejecutar comandos ni descargar archivos; solo marcar una casilla o resolver un acertijo visual.
- Si ya caíste, desconectate de internet, cambiá contraseñas desde otro dispositivo y pasale un antivirus antes de volver a conectarte.
¿Qué es la campaña ClearFake y cómo utiliza CAPTCHA falsos?
ClearFake es el nombre que la comunidad de ciberseguridad le puso a un grupo de atacantes que arrancó en julio de 2023 comprometiendo sitios WordPress desactualizados. La jugada es simple pero efectiva: inyectan código malicioso en el sitio para que, cuando alguien entra, aparezca un CAPTCHA trucho. Las víctimas no sospechan porque la interfaz es clavada a la de reCAPTCHA de Google o a Cloudflare Turnstile —dos servicios que cualquier persona que navega internet ve a diario.
Acá es donde se pone interesante. ClearFake no se limita a alojar el script malicioso en el servidor comprometido. Desde 2024 incorporaron EtherHiding, una técnica que carga el payload a través de contratos inteligentes en Binance Smart Chain. ¿Qué ganan con eso? Que el script no está en ningún archivo del servidor, así que las herramientas tradicionales de escaneo no lo detectan. El sitio infectado solo tiene una pequeña referencia que apunta a la blockchain, y desde ahí se descarga el resto del ataque en tiempo real.
Según datos de SecurityLab y Malwarebytes, para mayo de 2024 la campaña ya había comprometido 9.300 sitios y expuesto a 200.000 usuarios. Las proyecciones para 2026 duplican esa cifra de sitios, aunque no hay números oficiales actualizados porque los atacantes migran infraestructura constantemente y el conteo se vuelve borroso. Más contexto en guía de 2FA para WordPress.
¿Cómo funciona el método ClickFix en estos ataques?
Ponele que estás buscando documentación técnica, llegás a un sitio que parece legítimo y de repente aparece un CAPTCHA. Hasta ahí, normal. Hacés clic en «Verificar» y el sitio te tira un mensaje: «Para completar la verificación, presioná Win+R, Ctrl+V y Enter». Lo que pasó es que el clic copió un comando PowerShell a tu portapapeles sin que te enteraras. Vos lo pegás, lo ejecutás, y en segundos tu equipo descarga Lumma Stealer o Vidar Stealer sin mostrar ninguna ventana.
Ese es el corazón de ClickFix: hacer que la víctima ejecute el ataque con sus propias manos, salteándose cualquier defensa automatizada. El navegador no puede bloquearte lo que vos mismo decidís pegar y ejecutar en una consola. Es ingeniería social pura, pero envuelta en la fachada de un control de seguridad que todos aprendimos a obedecer sin pensar.
Lo más jodido es el sigilo. El script malicioso no deja rastros evidentes: no abre ventanas, no muestra barras de progreso, no pide permisos. Simplemente se ejecuta, descarga el payload, establece persistencia y se pone a recolectar datos. Para cuando te diste cuenta de que algo anda mal —si es que te das cuenta—, ya pasaron días o semanas.
¿Qué tipos de malware distribuyen los CAPTCHA falsos?
ClearFake y las campañas paralelas que usan la misma técnica no se casan con un solo bicho. Van rotando la carga útil según la campaña, el perfil de la víctima y lo que esté rindiendo mejor en ese momento. La lista de malware confirmado por los investigadores de SOC Prime y Malwarebytes incluye:
- Lumma Stealer: roba credenciales guardadas en navegadores, cookies de sesión, billeteras cripto y archivos de texto con patrones de contraseñas. Es el más común en estas campañas.
- Vidar Stealer: similar a Lumma pero con módulo para robar historial de navegación y datos de autocompletado. Suele aparecer en campañas más dirigidas.
- AsyncRAT: acceso remoto completo al equipo. El atacante puede ver tu pantalla, registrar teclas, mover archivos y usarte como puente para saltar a la red corporativa.
- SecTopRAT y XWorm: remote access trojans con capacidades de exfiltración y propagación lateral en redes Windows.
- Venom RAT y Remcos RAT: herramientas de administración remota abusadas como malware. Permiten control total, keylogging y robo de información del sistema.
Además, en campañas paralelas que aprovechan la misma infraestructura de distribución, los investigadores detectaron archivos VHD maliciosos y exploits de Excel que ofician de descarga inicial cuando el CAPTCHA no prende. El ecosistema es amplio y se adapta rápido. Complementá con guía anti-hackers de WordPress.
Comparativa de los principales malware distribuidos vía CAPTCHA falso
| Malware | Tipo | Qué roba | Persistencia | Detección |
|---|---|---|---|---|
| Lumma Stealer | Infostealer | Credenciales, cookies, billeteras cripto, archivos TXT | Alta (registry + tareas programadas) | Media |
| Vidar Stealer | Infostealer | Credenciales, historial, autocompletado, billeteras | Alta | Media |
| AsyncRAT | RAT | Control remoto total, keylogging, pantalla | Muy alta | Baja (usa ofuscación) |
| SecTopRAT | RAT | Acceso remoto, exfiltración, movimiento lateral | Alta | Baja |
| XWorm | RAT | Control remoto, robo de datos, propagación | Alta | Media |
| Venom RAT | RAT | Acceso remoto, keylogging, info del sistema | Alta | Media |
| Remcos RAT | RAT comercial abusado | Control total, exfiltración, vigilancia | Muy alta | Baja (firmado, legítimo en origen) |
¿Cómo detectar un CAPTCHA falso en un sitio web?
La regla de oro es simple y no falla: ningún CAPTCHA legítimo te pide que ejecutes un comando. Ni PowerShell, ni Win+R, ni Terminal, ni nada que se le parezca. Google reCAPTCHA y Cloudflare Turnstile funcionan con un clic o, como mucho, seleccionando imágenes con semáforos. Cualquier verificación que requiera que abras una consola es malware, sin excepciones.
Señales concretas que gritan «rajá de ahí»:
- El CAPTCHA apareció en un dominio que no conocés o en una ventana emergente separada del contenido principal. Los CAPTCHA legítimos se integran en la página, no flotan.
- Después de hacer clic, el portapapeles tiene algo que no copiaste vos. Si de repente Ctrl+V pega un comando, cerrá todo.
- Instrucciones para usar Win+R, PowerShell, CMD o Terminal. Directamente no hay grises acá: es un ataque.
- Te pide descargar un archivo o instalar una extensión para «completar la verificación». Los CAPTCHA no necesitan nada de eso.
- El mensaje de error habla de «problemas técnicos» o «configuración de red» y te da una solución que involucra ejecutar algo. Es el guion de ClickFix al pie de la letra.
Si administrás sitios WordPress y querés proteger a tus visitantes, servicios como donweb.com ofrecen hosting con escaneo de malware incluido y monitoreo de cambios en archivos, que ayuda a detectar inyecciones antes de que afecten a nadie.
¿Qué hacer si ya ejecutaste un comando de un CAPTCHA falso?
Te pasó. Viste el CAPTCHA, hiciste Win+R, pegaste, Enter. Apenas caés en la cuenta —y ojalá sea rápido—, cortás internet. Desconectá el cable o desactivá el WiFi. El malware necesita conectarse a un servidor de comando y control para recibir instrucciones o exfiltrar datos; sin conexión, se queda aislado.
Después, en este orden:
- No reinicies el equipo. Algunos malware ganan persistencia justamente durante el arranque. Dejalo prendido pero aislado.
- Pasale un análisis completo con un antivirus actualizado. Malwarebytes tiene firmas específicas para Lumma y Vidar. Si tenés Windows Defender, ejecutá el escaneo offline.
- Borraste cualquier descarga reciente, caché del navegador y cookies. Las cookies de sesión robadas permiten saltarse la autenticación multifactor, así que limpiar todo es urgente.
- Revisá las extensiones del navegador. Si hay algo que no instalaste vos, eliminá sin preguntar.
- Desde otro dispositivo limpio, cambiá las contraseñas de todas las cuentas importantes: mail, bancos, exchanges cripto, redes sociales, paneles de administración. Empezá por el mail, porque si tiene acceso a tu correo, el resto es un dominó.
- Activá el segundo factor en todo lo que no lo tuviera. Y si ya lo tenías con cookies de sesión, el cambio de contraseña invalida las sesiones anteriores, pero asegurate de que así sea.
- Supervisá movimientos en cuentas financieras durante las semanas siguientes. Los stealer a veces venden los datos en lotes y el uso no es inmediato.
¿Cómo proteger tu sitio WordPress de estas estafas?
ClearFake entra por vulnerabilidades en WordPress, plugins desactualizados y, cada vez más, servicios de terceros integrados al sitio. El caso de LES Automotive, documentado por los investigadores, mostró cómo un plugin de un proveedor externo fue la puerta de entrada para inyectar el CAPTCHA falso en cientos de sitios que ni siquiera tenían WordPress vulnerable.
Lo que sí está bajo tu control es esto:
- Actualizá WordPress, plugins y temas ni bien salga una versión nueva. La mayoría de los compromisos vienen por cosas que ya tenían parche hace meses. Automatizalo si podés.
- Usá autenticación de dos factores para wp-admin. Si tus credenciales de administrador se filtran por otro lado, el 2FA frena el acceso al panel.
- Monitoreá cambios en archivos. Hay plugins como Wordfence y Sucuri que te avisan si un archivo del core o de un plugin se modificó sin que vos lo tocaras.
- Deshabilitá la ejecución de scripts innecesarios y limitá los permisos de notificaciones del navegador a nivel servidor. Muchos ataques abusan de las notificaciones push para redirigir a los CAPTCHA falsos.
- Revisá los plugins de terceros y servicios externos. Si integrás algo de un proveedor chico, auditá qué permisos tiene y si realmente lo necesitás. Menos superficie de ataque, menos problemas.
¿Qué es EtherHiding y por qué complica tanto la defensa?
EtherHiding es la razón por la que ClearFake sigue activo en 2026 pese a tres años de investigación. La técnica consiste en alojar el script malicioso en un contrato inteligente dentro de Binance Smart Chain. El sitio infectado solo carga una pequeña porción de código que consulta la blockchain, obtiene el payload y lo ejecuta en el navegador de la víctima.
¿Cuál es el problema para los defensores? Que la blockchain es inmutable (no podés borrar el contrato malicioso una vez desplegado) y descentralizada (no hay un servidor central que puedas tumbar o bloquear con un DNS blacklist). Los atacantes despliegan el contrato, apuntan el sitio comprometido hacia ahí, y aunque limpies el servidor WordPress una y otra vez, si no encontrás y eliminás la referencia al contrato, el ataque persiste. Ya lo cubrimos antes en guía de vulnerabilidades CVE.
Lo interesante (en el peor sentido) es que Binance Smart Chain no es un antro oscuro: es una red masiva y legítima donde corren aplicaciones DeFi, juegos y exchanges descentralizados. Bloquear el acceso a la blockchain entera no es viable. Los investigadores de SOC Prime documentaron esta técnica en 2024 y para 2026 ya se volvió estándar en campañas de malware basadas en web.
La pregunta es: ¿alguien encontró una forma elegante de cortar esto sin romper medio internet? Todavía no.
Errores comunes al enfrentar un CAPTCHA falso
Acá van tres errores que veo repetidos en foros de soporte y grupos de WordPress, y cómo resolverlos.
Pensar que con borrar el historial alcanza
Si ejecutaste el comando PowerShell, el malware ya está instalado. Borrar el historial del navegador no lo desinstala, no frena la exfiltración y no cierra la puerta trasera que dejó abierta. Lo que necesitás es un análisis completo de antivirus y, según el bicho que haya entrado, reformatear el equipo. Sí, reformatear. Con Lumma y AsyncRAT, es la única garantía de que no quedó nada.
Confiar en que «mi antivirus lo frena» sin verificarlo
Los stealer modernos usan ofuscación que cambia cada pocas horas. El hash que tu antivirus conoce hoy probablemente no es el mismo que el atacante desplegó ayer. Pasale un escaneo offline con firmas actualizadas, pero no des por sentado que estás limpio. Si tenés dudas, arrancá de cero. Esto se conecta con lo que analizamos en guía de WAF para WordPress.
No invalidar las sesiones activas después de cambiar contraseñas
Cambiar la contraseña no siempre cierra las sesiones abiertas. Si el atacante ya tiene tus cookies de sesión, puede seguir navegando como vos incluso con la contraseña nueva. La mayoría de los servicios grandes (Google, Microsoft, bancos) tienen una opción de «cerrar sesión en todos los dispositivos». Usala. Y después cambiá la contraseña, no al revés.
Preguntas Frecuentes
¿Qué es un CAPTCHA falso?
Es una imitación maliciosa de los CAPTCHA legítimos (Google reCAPTCHA, Cloudflare Turnstile) insertada en sitios web comprometidos. En lugar de verificar que el visitante es humano, copia un comando malicioso al portapapeles y le pide a la víctima que lo ejecute manualmente, descargando malware como Lumma Stealer o AsyncRAT.
¿Cómo reconocer un CAPTCHA falso?
La señal definitiva es que te pida ejecutar un comando (Win+R, PowerShell, Terminal) o descargar un archivo. Los CAPTCHA reales solo requieren marcar una casilla o seleccionar imágenes. Otras señales: el CAPTCHA aparece en una ventana emergente, hay texto copiado automáticamente al portapapeles, o el sitio está en un dominio que no te suena.
¿Qué malware se instala con un CAPTCHA falso?
Principalmente Lumma Stealer y Vidar Stealer (robo de credenciales y billeteras cripto), AsyncRAT, SecTopRAT, XWorm, Venom RAT y Remcos RAT (acceso remoto y keylogging). La carga varía según la campaña, pero el objetivo siempre es robar información sensible y establecer persistencia en el equipo.
¿Cómo proteger un sitio WordPress de CAPTCHA falsos?
Mantené WordPress, plugins y temas actualizados. Usá autenticación de dos factores para el panel de administración. Monitoreá cambios en archivos con plugins de seguridad. Revisá y limitá los servicios de terceros que integra el sitio. Deshabilitá permisos innecesarios de notificaciones push.
¿Qué hacer si ejecuté el comando de un CAPTCHA falso?
Desconectá el equipo de internet de inmediato. Sin reiniciar, pasale un análisis completo de antivirus. Borrá descargas recientes, caché y cookies del navegador. Eliminá extensiones desconocidas. Desde otro dispositivo limpio, cambiá todas las contraseñas y cerrá las sesiones activas en cada servicio. Supervisá tus cuentas financieras durante las semanas siguientes.
Conclusión
ClearFake y los CAPTCHA falsos son, en 2026, uno de los vectores de ataque más efectivos contra usuarios de Windows. La combinación de ingeniería social bien calibrada, infraestructura descentralizada con EtherHiding y una rotación constante de payloads hace que las defensas tradicionales lleguen siempre un paso atrás. No hay parche mágico ni feature de navegador que te proteja si vos mismo ejecutás el comando.
La defensa real es el criterio: desconfiá de cualquier verificación que te saque del flujo normal del sitio, que toque tu portapapeles o que te mande a abrir una consola. Formatear un equipo y resetear contraseñas lleva horas. Dudar antes de apretar Win+R lleva dos segundos. La diferencia entre un susto y un robo de identidad completo está ahí.
Fuentes
- SecurityLab – Reporte sobre campaña ClearFake y CAPTCHA falsos
- SOC Prime – Infraestructura de distribución de malware vía CAPTCHA
- Malwarebytes – Conceptos básicos sobre estafas con CAPTCHA falsos
- Captura de CAPTCHA falso documentado en Reddit
