Hace un par de años un grupo de especialistas en seguridad informática de la Universidad de Maryland publicó una investigación para mostrar cómo podrían ser explotados los servicios de conversión de voz a texto en línea para resolver desafíos de audio reCAPTCHA v2 con un alto grado de éxito.
El Test de Turing Completamente Automatizado y Público para Diferenciar Computadoras de Humanos (CAPTCHA) es una prueba desafío-respuesta controlada por un sistema informático empleada para determinar si el usuario de dicho sistema es una persona o un programa automático. Esta es una de las formas más eficientes de prevenir el uso de bots en sitios web en general.
Aunque Google aplicó algunos cambios para prevenir estos ataques, con el tiempo han aparecido nuevas versiones del hack capaces de esquivar con éxito este popular mecanismo de seguridad, logrando incluso desarrollar una prueba de concepto (PoC) de este escenario.
El código de esta PoC se volvió obsoleto con el paso del tiempo. Sin embargo, el investigador Nikolai Tschacher logró modificar este código con el fin de que sea útil con la más reciente versión de reCAPTCHA v2 empleando la propia API de voz y texto de Google. Tschacher consiguió más del 95% de precisión en su ataque.
En 2018 Google lanzó reCAPTCHA v3 con el fin de mejorar la experiencia del usuario, aunque el investigador menciona que esta nueva versión aún cuenta con el respaldo de reCAPTCHA v2. El experto publicó una PoC, además de la explicación de los cambios realizados por Google. Se han enviado diversas solicitudes de información a Google, pero la compañía no ha mencionado nada al respecto.
La resolución automática de desafíos CAPTCHA se ha convertido en un área de investigación muy popular, incluso se han desarrollado extensiones de navegador gratuitas que ayudan a los usuarios a responder estos tests con solo presionar un botón.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
