El CAPTCHA ya no es suficiente para bloquear spambots

Este algoritmo ha sido probado en decenas de sitios web

Expertos en seguridad informática desarrollaron un algoritmo de aprendizaje automático capaz de superar los controles CAPTCHA basados en texto de una forma muy fácil y con mayor precisión que cualquier método desarrollado anteriormente, informan especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética.

Este nuevo algoritmo, desarrollado por un equipo de especialistas de Reino Unido y China, se basa en la implementación de una Red Antagónica Generativa (GAN), una clase especial de algoritmos de inteligencia artificial útiles en escenarios donde el algoritmo no tiene acceso a grandes cantidades de datos para el aprendizaje.

Acorde a expertos en ciberseguridad, un algoritmo de aprendizaje automático por clasificación usualmente requiere millones de puntos de datos para entrenar antes de poder realizar una tarea con el grado de precisión requerido.

En contraste, un algoritmo GAN cuenta con la ventaja de poder trabajar con una cantidad mucho menor de datos para comenzar el aprendizaje gracias a que una GAN usa un complemento “generativo” para producir datos similares. Los puntos de datos generados son posteriormente alimentados a un algoritmo “solucionador” que intenta adivinar la salida.

Los expertos que desarrollaron este algoritmo aplicaron el mismo concepto para romper el CAPTCHA de texto, que sólo habían sido probados con algoritmos de aprendizaje automático que requerían grandes cantidades de puntos de datos iniciales.

Los investigadores mencionaron que, en un ambiente real, un atacante no sería capaz de generar millones de CAPTCHA en tiempo real sin ser detectado o expulsado del sitio web. Por lo tanto, para la investigación se utilizaron solamente 500 CAPTCHA de texto presentes en 32 de los 50 sitios más visitados, según Alexa de Amazon.

La lista de datos para entrenar al algoritmo incluye CAPTCHA de texto de sitios como Wikipedia, Microsoft, eBay y Google.

Después de recopilar y entrenar al “solucionador” hasta generar 200 mil CAPTCHA “artificiales”, los expertos en ciberseguridad probaron sus algoritmos contra múltiples sistemas CAPTCHA de texto usados en la red, sobre los que también se habían probado otros algoritmos anteriormente.

Los investigadores afirman que su método consiguió resolver CAPTCHA de texto con un margen de precisión del 100% al ser probado en sitios como Megaupload, Blizzard o Authorize.NET. Los expertos agregaron que el método también demostró ser altamente preciso en sitios como Amazon, PayPal, Yahoo o Slashdot.

Además de mejorar la precisión, los investigadores reportan que el componente solucionador del algoritmo GAN que desarrollaron también es más eficiente y barato que cualquier otro método para superar el CAPTCHA. “El algoritmo puede resolver un CAPTCHA en 0.05 segundos utilizando una PC de escritorio”, afirman los investigadores.Esto podría resultar benéfico para algunos hackers, ya que no necesitarían comprar servicios de computación en la nube para romper el CAPTCHA de un sitio web en tiempo real. Una vez que un atacante entrene un algoritmo CAPTCHA de texto, puede ejecutarlo en una PC o servidor web normal, y lanzar ataques DDoS coordinados o mensajes de spam a múltiples sitios web.

(Visited 152,1 times)