Hackers maliciosos y su interés por esquivar el CAPTCHA

Los hackers buscan la manera de eludir esta medida de seguridad

El tema se está discutiendo en múltiples foros de hacking alojados en deep y dark web. Agentes de amenazas han mostrado especial interés en desarrollar proyectos para eludir la implementación del Test de Turing Público Completamente Automatizado para Diferenciar Computadoras y Humanos, más comúnmente conocido como CAPTCHA, según han informado investigadores especializados en forense digital y ciberseguridad.

Acorde a expertos en forense digital del Instituto Internacional de Seguridad Cibernética, el CAPTCHA está destinado a detener el spam automatizado en línea al exigir a los usuarios que verifiquen texto o imágenes que solamente son reconocibles para los humanos. Entre los usos populares de los CAPTCHA se encuentran la minimización de la eficacia de los bots en la implementación de ataques distribuidos de denegación de servicio (DDoS), la creación de cuentas de correo electrónico y las compras en línea de entradas para eventos. Actualmente, los actores maliciosos que desean automatizar estas actividades u otras operaciones en línea nocivas tienen un gran interés en eludir el CAPTCHA.

Los expertos en ciberseguridad y forense digital descubrieron recientemente una serie de discusiones entre hackers maliciosos sobre la omisión de CAPTCHA en un foro de optimización de motores de búsqueda (SEO) de nivel básico, en inglés. Un actor de amenazas planteó la cuestión de cómo omitir CAPTCHA usando scripts de Python y Selenium, y los miembros respondieron con diversos consejos y tácticas sugeridas. Las recomendaciones comunes compartidas entre los actores de amenazas incluyeron el uso de varios servicios de desvío de CAPTCHA legítimos y de código abierto, la mayoría de los cuales están diseñados para ayudar a las personas con discapacidades visuales o con dislexia.

Sin embargo, los analistas también observaron dos herramientas ilícitas en venta que, acorde a sus desarrolladores, son capaces de eludir la aplicación del CAPTCHA. La primera herramienta parece ser una copia robada de un software de marketing en redes sociales que automatiza la adición de amigos en Internet, mientras que la segunda es un tipo de software SEO abusado frecuentemente por los actores de amenazas para esparcir spam por email o en las secciones de comentarios de distintas plataformas.

Acorde a sus desarrolladores, esta segunda herramienta es capaz de “decodificar” más de 400 tipos de CAPTCHA en su forma predeterminada, y supuestamente puede decodificar incluso más variantes utilizando un plugin que se vende por separado. Los analistas encargados de la investigación no han confirmado que ninguna de las dos herramientas sea capaz de realizar las labores anunciadas.

El incremento en la frecuencia con la que este tema surge en distintos foros de hacking malicioso ha sido constante desde mediados del año pasado, aunque hasta el momento no parece existir evidencia de que estas discusiones hayan motivado alguna nueva actividad en la práctica.

Dado que el CAPTCHA es una herramienta vital en el combate contra la automatización de las actividades maliciosas en línea, como ataques DDoS y distribución de spam, la posibilidad de que los hackers maliciosos sean capaces de eludir el CAPTCHA continúa siendo motivo de discusión en la comunidad de la ciberseguridad.

Dado el nivel de interés que este tema ha alcanzado en los foros de deep y dark web, los expertos en forense digital pronostican que los actores de amenazas seguirán buscando métodos para eludir este programa. Las organizaciones que utilizan CAPTCHA para defender sus sitios web y redes deben ser conscientes de los esfuerzos en curso de los actores maliciosos para pasar por alto esta prueba, y si estos esfuerzos tienen éxito, deben adaptar sus tácticas de seguridad a medida del nivel de amenaza.