Si alguna vez hemos intentado registrarnos en un sitio web o enviar un comentario en un blog, es probable que nos hayamos encontrado con un CAPTCHA. Esta prueba, tiene como objetivo principal diferenciar a un humano de un programa automatizado y evitar el acceso de bots maliciosos a diversas plataformas en línea. En este artículo vamos a conocer más acerca de los CAPTCHA y riesgos relacionados con su uso, recientemente descubiertos.
Aunque nos pueda parecer molesto, este sistema es clave para garantizar nuestra seguridad en internet. En este artículo, vamos a explorar en detalle qué es un CAPTCHA, cómo funciona, los distintos tipos que existen, su importancia en la ciberseguridad y riesgos derivados de su uso fraudulento.
¿Qué es el CAPTCHA?
CAPTCHA (siglas del inglés Completely Automated Public Turing test to tell Computers and Humans Apart), se traduce como una prueba de Turing pública y automática para poder diferenciar a computadoras y humanos. Se trata de un sistema diseñado para garantizar que la interacción en la web sea realizada por una persona real y no por un programa automatizado o un bot.
El CAPTCHA, se introdujo como una solución para prevenir ataques automatizados que pudieran comprometer la seguridad de los sitios web. Funcionan, planteando una prueba fácil de resolver para un humano, pero difícil para un bot.
¿Para qué sirve el CAPTCHA?
Un CAPTCHA tiene diversas aplicaciones en el entorno digital, siendo su función principal la seguridad cibernética. Entre sus usos más comunes podemos encontrar:
- Evitar la creación masiva de cuentas falsas: Muchas plataformas, como redes sociales o correos electrónicos, lo utilizan para impedir que los bots generen cuentas fraudulentas de forma masiva.
- Prevención de ataques de fuerza bruta: Protege el acceso a cuentas al dificultar la prueba de combinaciones de contraseñas de forma automática.
- Filtrar spam: En foros, blogs o formularios de contacto, ayuda a bloquear comentarios y mensajes generados por bots.
- Asegurar la legitimidad de votaciones en línea: Se emplea en encuestas y votaciones, para garantizar de manera efectiva que los votos provienen de personas reales y no de bots ejecutando múltiples respuestas, lo que incrementa la confianza en el proceso de votación y ayuda a mantener la integridad de los resultados obtenidos.
Distintos tipos de CAPTCHA
A medida que los bots se van sofisticando, los CAPTCHA han evolucionado para mantener su efectividad. Existen diversos tipos, cada uno con características específicas:
CAPTCHA de texto
Es uno de los más tradicionales y utilizados. Consiste en una imagen con caracteres alfanuméricos distorsionados, que el usuario debe identificar y escribir en un campo de texto. Puede incluir mayúsculas y minúsculas, así como caracteres poco usuales para dificultar su resolución por parte de los bots.
CAPTCHA de imágenes
Es muy usado en la actualidad y requiere que el usuario seleccione imágenes que cumplan con una determinada condición, como escoger todas aquellas que contengan semáforos, vehículos o pasos de peatones. Su ventaja radica en que el reconocimiento de patrones supone un desafío ante el uso de algoritmos automatizados.
CAPTCHA de audio
Está pensado para personas con discapacidad visual, ofreciendo una alternativa en la que se reproduce una serie de números o letras en un audio con ruido de fondo. Pese a ser una opción inclusiva, muchas veces puede ser difícil de entender, debido a la interferencia del ruido.
CAPTCHA basado en preguntas
Este modelo nos plantea preguntas de lógica sencilla o cultura general, como “¿De qué color es el cielo?” o problemas matemáticos básicos. Es fácil de resolver para humanos, pero puede tener dificultad para su interpretación para programas automatizados. No vamos a descartar que el uso de la IA, está contribuyendo a que su dificultad se reduzca en detrimento de la seguridad que se persigue.
CAPTCHA basado en redes sociales
Requiere que el usuario, inicie sesión en la cuenta de redes sociales verificada, en lugar de completar un formulario. Esto contribuye a confirmar su identidad sin necesidad de pruebas adicionales.
¿Qué es un reCAPTCHA?
Recaptcha o reCAPTCHA, es el sistema Captcha desarrollado por Google para detectar el tráfico procedente de programas automatizados o bots. Mediante el aprendizaje automático y el análisis avanzado de riesgos, es una versión más avanzada del sistema CAPTCHA tradicional.
El proceso de verificación reCAPTCHA usa inteligencia artificial (IA), para reconocer el comportamiento humano que los robots no pueden seguir. Las pruebas deben ser superables por cualquier usuario humano, independientemente de su edad, sexo, educación o idioma.
No obstante y como hemos dicho anteriormente, se han desarrollado bots más avanzados, con capacidad para resolver rápidamente los CAPTCHA tradicionales con algoritmos, entrenados en el reconocimiento de patrones. Es a partir de ese momento, cuando los CAPTCHA tradicionales se sustituyeron por pruebas más complejas en forma de reCAPTCHA v1 o versiones posteriores.
Versiones de reCAPTCHA
En la actualidad, existen varias versiones de reCAPTCHA como son:
- reCAPTCHA v1: Basado en la transcripción de palabras de libros escaneados, pero su uso fue abandonado.
- reCAPTCHA v2: Introdujeron la casilla de verificación “No soy un robot” y pruebas mediante la identificación de imágenes por parte del usuario.
- reCAPTCHA v3: Funcionan en segundo plano analizando el comportamiento del usuario, sin necesidad de realizar una interacción visible.
Problemas de acceso de los CAPTCHA
Pese a que los CAPTCHA nos proporcionan seguridad, pueden generar distintas dificultades de acceso a ciertos usuarios, especialmente a personas con discapacidad visual o auditiva. Los problemas más comunes comprenden:
- Dificultad para interpretar imágenes: El usuario con discapacidad visual puede tener problemas para distinguir los caracteres de un CAPTCHA tradicional.
- Desafío de los CAPTCHA de audio: El ruido de fondo y la distorsión pueden hacer más difícil su interpretación, incluso para personas que no sufran problemas auditivos.
- Incompatibilidad con lectores de pantalla: Muchos CAPTCHA no están diseñados para ser leídos por tecnologías de asistencia, lo que puede dificultar la accesibilidad para personas con discapacidad visual. Ello representa una barrera importante que impide que algunos usuarios puedan acceder a sitios web o aplicaciones en línea.
Para abordar estos problemas, se están desarrollando soluciones como los CAPTCHA basados en comportamiento y opciones completamente invisibles para el usuario.
El CAPTCHA es una herramienta de gran importancia en la seguridad digital, que ha evolucionado con el tiempo para hacer frente a amenazas cibernéticas cada vez más sofisticadas. Su objetivo principal es asegurar que las interacciones en la web sean llevadas a cabo por personas reales, evitando la acción de bots maliciosos. No obstante, su implementación debe equilibrarse con la accesibilidad para no excluir a ciertos usuarios, además de presentar ciertos riesgos en la seguridad derivados de su uso, como vamos a ver a continuación.
Un captcha nos puede engañar para instalar malware
El sector de la ciberseguridad, se enfrenta una nueva amenaza disfrazada de verificación CAPTCHA. Un grupo de investigadores ha descubierto un método engañoso que está siendo utilizado por ciberdelincuentes para infectar dispositivos, sin que los usuarios lleguen a sospechar nada.
El proceso comienza en un sitio web comprometido o que contenga anuncios maliciosos. Al intentar acceder a determinado contenido, nos aparece un CAPTCHA que nos solicita confirmar que no somos un robot. Hasta aquí, todo normal. Sin embargo, en lugar de solicitarnos seleccionar imágenes o escribir un código, la supuesta verificación proporciona instrucciones específicas como: presionar las teclas Windows + R, pegar un texto previamente copiado al portapapeles y presionar Enter.
Tras la rutinaria verificación se esconde un engaño. Cuando el usuario sigue las instrucciones, está ejecutando un comando en la herramienta «Ejecutar» de Windows. Dicho comando, oculto en el texto copiado, activa MSHTA, herramienta utilizada para ejecutar archivos HTML mediante scripts maliciosos. El resultado es la descarga e instalación de malware sin que la víctima se haya percatado.
El ataque aprovecha la confianza del usuario en el CAPTCHA, su desconocimiento sobre el uso de comandos de Windows y la forma en que la interfaz del sistema operativo oculta el texto en la barra de ejecución. A diferencia de otros ataques que requieren descargas o clics evidentes, dicha técnica manipula al usuario para que active el malware por sí mismo.
Usuarios más vulnerables
Aquellos usuarios con poca experiencia en tecnología o acostumbrados a seguir instrucciones sin verificarlas antes, pueden ser las principales víctimas.
Además, las personas que utilizan computadoras con configuraciones de seguridad baja o desactualizadas, tienen un mayor riesgo de ser víctimas.
Para protegerse de esta amenaza silenciosa, es conveniente:
- Nunca ejecutar comandos en la barra de «Ejecutar», sin verificar su procedencia.
- Mantener nuestros sistemas operativos y antivirus actualizados.
- Desconfiar de aquellos CAPTCHA inusuales que solicitan acciones fuera de lo común.
- Usar navegadores con protección avanzada contra sitios maliciosos.
- Evitar hacer clic en anuncios o enlaces sospechosos en aquellas páginas de poca confianza.
El nuevo mecanismo de fraude, demuestra que los ciberdelincuentes siguen innovando en sus técnicas para infectar dispositivos, buscando constantemente nuevas formas de eludir las medidas de seguridad que intentan proteger a los usuarios.
Esta situación es alarmante, ya que cada día aparecen nuevos métodos más sofisticados y difíciles de detectar, lo que pone en riesgo no sólo la información personal, sino también la integridad de las redes empresariales.
La mejor defensa sigue siendo la precaución y el conocimiento sobre estas amenazas emergentes, lo cual incluye mantenerse informado sobre las últimas tendencias en ciberseguridad y aplicar prácticas seguras, como el uso de contraseñas robustas, autenticación de doble factor y actualizaciones regulares del software.
STI 2020 ® 
Deja un comentario