En una mesa de debate de la Conferencia RSA 2021 sobre ataques web y fraude online, los investigadores analizaron las lecciones aprendidas al estudiar las tácticas de los ciberdelincuentes y los ataques a grandes organizaciones. Uno de los ponentes, ex funcionario de la policía, Dan Woods, habló sobre su experiencia en la formación como trabajador en una granja de CAPTCHA. El trabajo era abundante y el sueldo escaso (unos 3 dólares al día), pero su principal conclusión fue que las pruebas CAPTCHA ya no cumplen con su propósito.
En términos generales, si una interfaz está creada para humanos, no es necesario que un bot tenga acceso a ella. Los programas se comunican entre ellos mediante API, y no mediante interfaces de usuario. Cuando un bot intenta acceder a un recurso o servicio online mediante una interfaz de usuario podemos estar casi seguros de que se trata de un intento de explotación.
Durante muchos años, las pruebas CAPTCHA, un mecanismo para distinguir a los usuarios humanos de los ordenadores, han combatido en solitario a los bots ilegales. Muchos servicios, entre los que se incluyen los sistemas de banca online y programas de fidelidad, aún las utilizan. Pero ¿siguen siendo de confianza?
¿Qué es una granja de clics?
Una granja de clics es el elemento humano del fraude de clics: consiste en que muchas personas pulsen en los anuncios que pagan por clic, impulsen la posición de las páginas web en las búsquedas, aumenten los me gusta, las vistas, los votos y otras métricas. Antes los bots eran los encargados de esta tarea, pero debido al uso de algoritmos antifraude, los estafadores se han visto obligados a involucrar a personas reales.
Algunas granjas de clics, como la que contrató a Woods, se especializan en servicios de CAPTCHA, relevando a los bots que tienen problemas con la verificación.
El trabajador de una granja de CAPTCHA se encarga de tareas muy simples para una persona, pero que para una máquina resultan complejas y que, por tanto, no se les pueden confiar. Estas tareas pueden consistir en seleccionar imágenes donde aparezca una boca de incendios, descifrar una secuencia distorsionada de letras, resolver una ecuación aritmética muy simple, etc.
Es posible que te hayas encontrado con una variación del tema de esta imagen circulando online:
Pues bueno, no solo es una broma.
¿Necesitas el CAPTCHA?
Los usuarios nunca han sido muy afines al mecanismo de CAPTCHA. Siempre hay margen de error: hacer clic por accidente en la imagen incorrecta, no detectar la boca de incendios que estaba escondida al fondo o un carácter en la sopa de letras y números. Incluso si nada sale mal, el proceso de CAPTCHA resulta en una UX (experiencia de usuario) negativa, lo que significa que perturba el flujo y le quita puntos a la experiencia del usuario.
A su vez, las granjas de CAPTCHA no son las únicas herramientas enfocadas en CAPTCHA de los estafadores. Algunos, por ejemplo, todavía tratan de crear inteligencia artificial capaz de resolver estos acertijos. Por muy imperfecciones que sean, los mecanismos de CAPTCHA representan un nivel más de protección y, por lo tanto, usarlos parece razonable. Pero nunca nada es tan sencillo.
Alternativas al CAPTCHA
Las pruebas CAPTCHA ya no son de confianza para proteger de los intrusos y, además, resultan molestas para los usuarios reales. En resumen, parece que ha llegado el momento de dejar atrás este mecanismo obsoleto.
Sin embargo, por fortuna, estas pruebas son los únicos medios automatizados para determinar si un humano o una máquina tratan de acceder al sistema. Si quieres una mejor opción, te recomendamos la autentificación avanzada de Kaspersky Fraud Prevention, que elimina los pasos de autentificación innecesarios y crea una experiencia sin interrupciones para el usuario.
Gracias a las tecnologías de aprendizaje automático, para decidir rápida y correctamente si se permite que el usuario inicie sesión, realice una comprobación adicional o se restringe el acceso, la autentificación avanzada utiliza un análisis extenso del comportamiento del usuario, los indicadores biométricos pasivos, los datos sobre el dispositivo desde el cual se solicita la autentificación, su entorno, etc. El objetivo principal de la tecnología es determinar si se trata de una persona o una máquina quien solicita el acceso al servicio.
Aquí podrás encontrar más información sobre la solución.