Los investigadores de seguridad encuentran fallos en reCAPTCHA

Un grupo de investigadores de seguridad han descubierto importantes errores en la tecnología de reCAPTCHA de Google.

Empecemos con el origen de la palabra “captcha”. Se trata del acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (prueba de Turing completamente automática y pública para diferenciar a los ordenadores de los humanos). La idea que hay detrás de la tecnología de captcha (y detrás de la prueba de Turing original) es simple: se trata de una prueba que los seres humanos pueden superar y que los bots online no pueden. El captcha generalmente tiene la forma de una imagen de texto distorsionada que el usuario debe teclear con el fin de verificar que no se trata de una máquina.

recaptcha-featured

La tecnología de captcha es importante porque proporciona seguridad de forma sencilla y práctica en varios aspectos, por ejemplo: sirve como protección al momento de registrarse en páginas web, previene el spam en los comentarios de los blogs, asegura que solo los seres humanos voten en las encuestas online, etc. Sin la tecnología de captcha, los que envían spam podrían aprovecharse de la situación mediante la creación de varias cuentas, dejando una gran cantidad de comentarios o votando una infinidad de veces en la misma encuesta.

Las primeras versiones de captcha eran relativamente fáciles de burlar. Como resultado se produjo una batalla entre los hackers y los desarrolladores de captcha, cuando los primeros derribaban una versión del captcha, estos últimos lanzaban una nueva versión, mucho más fuerte.

Después, Google salió a escena lanzando su reCAPTCHA, que ahora está considerado de forma no oficial como el captcha estándar. Este no solo utiliza texto distorsionado, sino también imágenes, y está considerado como uno de los servicios de captcha más fuertes. La tecnología de reCAPTCHA de Google es utilizada por el propio Google, Facebook y muchas otras páginas web como un medio de protección contra el spam y el abuso. De hecho, reCAPTCHA es el proveedor de captcha más popular del mundo.

Por desgracia, esta tecnología podría no ser tan infalible como se creía.

Los investigadores de seguridad de la Universidad de Columbia han descubierto fallos en la tecnología de reCAPTCHA de Google que pueden abrir la puerta a los hackers para influir en el análisis de riesgos, burlar las restricciones y distribuir ataques a gran escala.

Los investigadores afirmaron ser capaces de diseñar un ataque de bajo coste que resuelve con éxito más del 70 % de los retos de la imagen de reCAPTCHA y cada desafío requiere una media de solo 19 segundos para resolverlo. También aplicaron el sistema a la imagen de captcha de Facebook y encontraron un nivel de precisión del 83,5 %. Al parecer, el hecho de que Facebook presente una mayor precisión es debido a que las imágenes de Facebook son de mayor resolución.

El sistema utiliza técnicas que le permiten eludir las cookies y tokens, y utiliza el aprendizaje automático como una forma de adivinar correctamente las imágenes utilizadas. Lo curioso es que este sistema de burlado del reCAPTCHA funciona mediante el uso de la propia herramienta de búsqueda inversa de imágenes de Google. Pero también funciona sin conexión a Internet.

Según afirmaron los investigadores, haciendo especial hincapié en la simplicidad y la rentabilidad de este ataque en concreto: “Sin embargo, nuestro sistema de burlado de captcha sin conexión a Internet es comparable a un servicio de resolución de problemas profesional tanto en la precisión, como en la duración del ataque, con la ventaja añadida de no incurrir en ningún coste por parte del atacante”.

Antes de que los resultados se hicieran públicos, los investigadores alertaron a Google y Facebook para informarles de estos posibles problemas. Según afirmaron, Google respondió tratando de mejorar la seguridad de reCAPTCHA, pero Facebook no parece haber tomado ninguna medida para mejorarlo.

Los investigadores creen que los hackers podrían cobrar unos 2 dólares por 1.000 captchas resueltos, una cantidad razonable, por lo tanto, podrían ganar más de 100 dólares al día. Las ganancias podrían ser aún mayores si lanzaran ataques múltiples o utilizaran técnicas adicionales.

La investigación nos muestra que todavía hay mucho por hacer en el mundo de la ciberseguridad, pero también da la oportunidad de que muchas empresas, como Google, sigan mejorando sus medidas de seguridad actuales. Google ya ha mostrado interés en fortalecer su seguridad, y esperemos que otras páginas web sigan el mismo camino.

Consejos