Los investigadores de ciberseguridad alertan sobre la proliferación de servicios que evaden los sistemas CAPTCHA, diseñados para distinguir a los usuarios legítimos del tráfico de bots.
En un informe reciente, Trend Micro advierte sobre la creciente demanda de servicios de resolución de CAPTCHA que se enfocan en romper estos sistemas de seguridad. En lugar de utilizar técnicas de reconocimiento óptico de caracteres o métodos avanzados de aprendizaje automático, estos servicios asignan la tarea de romper los CAPTCHA a solucionadores humanos reales.
El CAPTCHA, una prueba de Turing pública completamente automatizada para diferenciar computadoras y humanos, es una herramienta crucial para combatir el spam y restringir la creación de cuentas falsas al distinguir a los usuarios humanos reales de los usuarios automatizados.
Sin embargo, los ciberdelincuentes muestran un interés cada vez mayor en romper los CAPTCHA de manera precisa. Como resultado, se han creado servicios específicos para satisfacer esta demanda en el mercado. Estos servicios utilizan solucionadores humanos para superar los CAPTCHA, en lugar de emplear técnicas avanzadas basadas en inteligencia artificial.
Esta tendencia plantea un desafío para las medidas de seguridad que dependen de los CAPTCHA para proteger los sistemas en línea. Los investigadores de ciberseguridad instan a una mayor atención y a la implementación de soluciones más robustas para contrarrestar esta amenaza en constante evolución.
Si bien los mecanismos CAPTCHA pueden resultar disruptivos para la experiencia del usuario, son considerados un medio efectivo para combatir los ataques generados por el tráfico de bots en la web.
Los servicios ilícitos de resolución de CAPTCHA operan redirigiendo las solicitudes de los clientes a solucionadores humanos, quienes resuelven los desafíos y envían los resultados de vuelta a los usuarios. Este proceso implica el uso de APIs para enviar y recibir los CAPTCHA y sus soluciones. Según el investigador de seguridad Joey Costoya, esta facilidad de integración con herramientas automatizadas permite a los clientes de estos servicios desarrollar ataques automatizados contra servicios web en línea. Además, como los CAPTCHA son resueltos por seres humanos, su propósito de filtrar el tráfico automatizado de bots se vuelve ineficaz.
Además, se ha observado que los actores maliciosos combinan los servicios de resolución de CAPTCHA con proxyware para ocultar su dirección IP de origen y evadir las defensas antibot. El proxyware, que se presenta como una forma de compartir el ancho de banda de Internet no utilizado a cambio de un "ingreso pasivo", convierte los dispositivos en los que se ejecuta en proxies residenciales.
Un ejemplo revelador de esta combinación de servicios se ha observado en el mercado de comercio social Poshmark, donde las solicitudes generadas por un bot se redirigen a través de una red de proxyware.
Estas prácticas socavan la efectividad de los CAPTCHA, herramientas comunes utilizadas para prevenir el spam y el abuso de bots. Costoya señala que, si bien los servicios web en línea pueden bloquear las direcciones IP de los abusadores, el creciente uso de proxyware ha reducido la eficacia de esta medida, al igual que la de los propios CAPTCHA.
Como mitigación de estos riesgos, se recomienda que los servicios web en línea complementen los CAPTCHA y las listas de bloqueo de direcciones IP con otras herramientas de protección contra el abuso. Esto permitirá fortalecer las defensas y garantizar una mayor seguridad en entornos en línea cada vez más amenazados por la actividad de los bots.
%2014.04.55.png)
