Los ciberdelincuentes explotan la mano de obra barata para quebrantar a gran escala las de medidas seguridad más avanzadas

as pruebas CAPTCHA* (Completely Automated Public Turing Test to tell Computers and Humans Apart), consisten en unas pruebas de desafío-respuesta empleadas a menudo en informática con el fin de determinar si el usuario es una persona o si se trata de una máquina.

Los sitios suelen emplear las pruebas CAPTCHA para determinar si están siendo utilizados por personas o por programas robots (botnets), destinados a enviar grandes volúmenes de spam. Se ha demostrado que las comprobaciones de seguridad CAPTCHA son una herramienta eficaz para detener este tipo de ataque, si bien Trend Micro comunica ahora la existencia de centros dedicados en India donde se paga a los empleados por burlar las comprobaciones de seguridad CAPTCHA.

Mientras que los métodos tradicionales basados en programas robots utilizados para sortear los controles de seguridad fueron eficaces en la identificación de cuentas en un 30 - 35% de los casos, el nuevo proceso CAPTCHA que implica la intervención de las personas se encuentra mucho más cerca del 100%. Como resultado, los ciber-delincuentes han incrementado el número de cuentas que tienen disponibles para llevar a cabo sus actividades maliciosas.

Trend Micro ha confirmado que uno de los principales proveedores de correo electrónico gratuito ya ha sido víctima de este método y que una gran cantidad de cuentas han sido robadas mediante el empleo, por parte de los ciber-criminales, de grupos de trabajadores dedicados a quebrantar la seguridad CAPTCHA.

El proceso funciona de la siguiente manera:

El programa robot visita la página de inscripción y rellena el formulario con datos aleatorios.

Cuando aparece la verificación CAPTCHA, el programa robot envía el mensaje a un terminal informático ubicado en India.

Los trabajadores introducen la combinación correcta de letras y números y vuelven a enviar la información al programa robot.

El programa robot introduce la respuesta y completa el proceso de registro.

Los creadores de spam ya tienen acceso gratuito a las cuentas de los usuarios.

La cuenta de correo electrónico comienza a distribuir el spam entre miles de cuentas de correo legítimas.

Entre los sistemas anteriores que solucionaban la comprobación de seguridad CAPTCHA se incluían la creación de un programa de desnudo virtual que recompensaba al usuario con la eliminación de una prenda de vestir cuando escribía el texto mostrado en una imagen adjunta.

* CAPTCHA: Completely Automated Public Turing Test to tell Computers and Humans Apart.