Noticias
El sistema Google reCAPTCHA ha sido crackeado
El investigador Jonathan Wilkins ha publicado un reciente artículo en el que incluye un análisis de la seguridad de reCAPTCHA. En ataques automatizados que ha llevado a cabo contra el sistema ha conseguido una alarmante tasa de éxito del 17,5%.
CAPTCHA–son las siglas de Completely Automated Public Turing test to tell Computers and Humans Apart– es un método específico para asegurar que quien está delante del ordenador es una persona y no un sistema automático. Dicho sistema es el típico utilizado en los registros de webs y similares para evitar la sobrecarga de los servidores, evitar spam y demás, en el que hay una serie de letras deformadas y hay que escribir el código, que inicialmente es reconocido por software OCR.
Wilkins ha conseguido una tasa de efectividad muy alta y ello denota una baja seguridad en el sistema reCAPTCHA ya que si un operador de una botnet de 10.000 ordenadores tuviera un éxito del 0,01% en este tipo de ataques, se podrían crear 10 nuevas cuentas Gmail cada segundo, lo que implica 864.000 cuentas de correo nuevas al día listas para mandar spam.
Google ha comentado que Wilkins ha utilizado en su estudio una versión antigua del sistema, de 2008, que ha evolucionado desde entonces para ser más resistente y también fácil de utilizar por personas. Wilkins ha comentado que sus pruebas iniciales se realizaron con versiones antiguas, pero desde entonces ha llevado a cabo tests, en uno de sus tests con el sistema origina, su tasa de éxito fue 5 de 200 casos, mientras que un test con el nuevo sistema, ha sido de 23 en 100 casos.
El sistema de Google tiene además una contrapartida, y es que las palabras forman parte de textos de libros, por lo tanto suelen estar contenidas en diccionarios, lo que hace más sencillo su crackeo, ya que se puede comparar en caso de no «reconocer» de primeras la palabra. Otra de las vulnerabilidades del sistema es que reCAPTCHA acepta palabras con una letra mal, es decir si aparece «cuando» e introducimos «suando» el sistema la daría como buena.
Hay nuevos desarrollos de CAPTCHA que prometen ser bastante seguros, como por ejemplo, éste.