Los investigadores en ciberseguridad están advirtiendo sobre servicios de rompimiento de CAPTCHA que se ofrecen en venta para evadir sistemas diseñados para distinguir usuarios legÃtimos del tráfico generado por bots.
"Debido a que los ciberdelincuentes están interesados en romper los CAPTCHAs de manera precisa, se han creado varios servicios que están dirigidos principalmente a este mercado", dijo Trend Micro en un informe publicado la semana pasada. "Estos servicios de resolución de CAPTCHA no utilizan técnicas de reconocimiento óptico de caracteres ni métodos avanzados de aprendizaje automático; en su lugar, rompen los CAPTCHAs asignando las tareas de romper CAPTCHA a solucionadores humanos reales".
CAPTCHA, que significa "Prueba de Turing Pública Completamente Automatizada para diferenciar a las Computadoras de los Humanos", es una herramienta para distinguir a los usuarios humanos reales de los usuarios automatizados con el objetivo de combatir el spam y restringir la creación de cuentas falsas.
Si bien los mecanismos CAPTCHA pueden ser una experiencia disruptiva para el usuario, se consideran un medio efectivo para contrarrestar los ataques del tráfico web generado por bots.
Los servicios ilÃcitos de resolución de CAPTCHA funcionan canalizando las solicitudes enviadas por los clientes y delegándolas a sus solucionadores humanos, quienes resuelven el problema y devuelven los resultados a los usuarios. Esto se logra llamando a una API para enviar el CAPTCHA e invocando una segunda API para obtener los resultados.
"Esto facilita que los clientes de los servicios de rompimiento de CAPTCHA desarrollen herramientas automatizadas contra servicios web en lÃnea", dijo el investigador de seguridad Joey Costoya. "Y debido a que los seres humanos reales están resolviendo los CAPTCHAs, el propósito de filtrar el tráfico automatizado de bots a través de estas pruebas se vuelve ineficaz".
Pero eso no es todo. Se ha observado que los actores de amenazas compran servicios de rompimiento de CAPTCHA y los combinan con ofertas de proxyware para ocultar la dirección IP de origen y evadir las barreras anti-bots. El proxyware, aunque se comercializa como una utilidad para compartir el ancho de banda de internet no utilizado de un usuario con otras partes a cambio de un "ingreso pasivo", básicamente convierte los dispositivos que lo ejecutan en proxies residenciales.
En un caso de un servicio de rompimiento de CAPTCHA dirigido al popular mercado de comercio social Poshmark, las solicitudes de tareas que provienen de un bot se enrutan a través de una red de proxyware.
"Los CAPTCHAs son herramientas comunes utilizadas para prevenir el spam y el abuso de bots, pero el aumento en el uso de servicios de rompimiento de CAPTCHA ha hecho que los CAPTCHAs sean menos efectivos", dijo Costoya. "Si bien los servicios web en lÃnea pueden bloquear las direcciones IP de origen de los abusadores, el aumento de la adopción de proxyware hace que este método sea tan ineficaz como los propios CAPTCHAs".
Para mitigar tales riesgos, se recomienda a los servicios web en lÃnea complementar los CAPTCHAs y el bloqueo de direcciones IP con otras herramientas contra el abuso.
¿Quieres saber más?