Los investigadores de seguridad cibernética advierten sobre los servicios que rompen CAPTCHA que se ofrecen a la venta para eludir los sistemas diseñados para distinguir a los usuarios legítimos del tráfico de bots.
«Debido a que los ciberdelincuentes están interesados en romper los CAPTCHA con precisión, se han creado varios servicios que están orientados principalmente a esta demanda del mercado», Trend Micro dicho en un informe publicado la semana pasada.
«Estos servicios de resolución de CAPTCHA no utilizan [optical character recognition] técnicas o métodos avanzados de aprendizaje automático; en cambio, rompen los CAPTCHA al asignar tareas de ruptura de CAPTCHA a solucionadores humanos reales».
CAPTCHA – abreviatura de Completely Automated Public Turing test to tell Computers and Humans Apart – es una herramienta para diferenciar a los usuarios humanos reales de los usuarios automatizados con el objetivo de combatir el spam y restringir la creación de cuentas falsas.
Si bien los mecanismos CAPTCHA pueden ser un experiencia de usuario disruptivase consideran un medio eficaz para contrarrestar los ataques del tráfico web que se origina en bots.
Los servicios ilícitos de resolución de CAPTCHA funcionan canalizando las solicitudes enviadas por los clientes y delegándolas a sus solucionadores humanos, quienes elaboran la solución y envían los resultados a los usuarios.
Esto, a su vez, se logra llamando a una API para enviar el CAPTCHA e invocando una segunda API para obtener los resultados.
«Esto facilita que los clientes de los servicios de ruptura de CAPTCHA desarrollen herramientas automatizadas contra los servicios web en línea», dijo el investigador de seguridad Joey Costoya. «Y debido a que los humanos reales están resolviendo CAPTCHA, el propósito de filtrar el tráfico automatizado de bots a través de estas pruebas se vuelve ineficaz».
Eso no es todo. Se ha observado que los actores de amenazas compran servicios que rompen CAPTCHA y los combinan con ofertas de proxyware para ocultar la dirección IP de origen y evadir las barreras antibot.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
software proxyaunque se comercializa como una utilidad para compartir el ancho de banda de Internet no utilizado de un usuario con otras partes a cambio de un «ingreso pasivo», esencialmente convierte los dispositivos que los ejecutan en proxies residenciales.
En una instancia de un servicio de ruptura de CAPTCHA dirigido al popular mercado de comercio social Poshmark, las solicitudes de tareas que emanan de un bot se enrutan a través de una red de proxyware.
«Los CAPTCHA son herramientas comunes que se usan para prevenir el spam y el abuso de bots, pero el uso cada vez mayor de servicios de ruptura de CAPTCHA ha hecho que los CAPTCHA sean menos efectivos», dijo Costoya. «Si bien los servicios web en línea pueden bloquear las IP de origen de los abusadores, el aumento de la adopción de proxyware hace que este método sea tan inútil como los CAPTCHA».
Para mitigar tales riesgos, se recomienda que los servicios web en línea complementen los CAPTCHA y las listas de bloqueo de IP con otras herramientas contra el abuso.