Al ingresar información de tarjetas de crédito o credenciales en sitios, es posible que te solicite que copies una progresión de palabras o una totalidad numérica para continuar. Si bien la mayoría de las veces, este es un avance rápido antes de que puedas continuar con tu acción, muchas personas no pueden evitar pensar en ¿qué es CAPTCHA? Es más, ¿cuál es su motivación?
El propósito básico de CAPTCHA es reconocer a un ser humano y una máquina. Se puede utilizar un robot o una máquina para llenar estructuras con datos irregulares, pero una máquina o un robot no pueden ingresar audio o imágenes y, en consecuencia, solo puede hacerlo un humano.
Aquí tienes una guía completa sobre CAPCHA, qué es, cómo funciona, tipos y sus inconvenientes y problemas de seguridad.
Indice
¿Qué es CAPTCHA?
CAPTCHA es un acrónimo de Prueba pública de Turing completamente automatizada para diferenciar a las computadoras y a los humanos en abreviaturas de CAPTCHA.
Los CAPTCHA son instrumentos que puede utilizar para separar a los usuarios automatizados de los usuarios reales, como los bots. Los CAPTCHA brindan dificultades que son difíciles de realizar para las PC, pero generalmente simples para las personas.
Identificar números o letras estiradas o hacer clic en una región en particular es el ejemplo de CAPTCHA.
Un CAPTCHA, entonces, es un rompecabezas básico que puede determinar rápidamente si la entidad que trabaja en él es un humano o una computadora.
¿Para qué se usa?
El CAPTCHA es usado por cualquier sitio que desee limitar la utilización por bots. Las utilizaciones explícitas incluyen:
- Prevención de comentarios falsos: los CAPTCHA pueden evitar que los bots envíen spam a hojas de mensajes, sitios de revisión o formularios de contacto. La progresión adicional necesaria por un CAPTCHA también puede asumir un papel en la disminución de la molestia en la web a través de la carga.
- Prevención de la inflación de boletos: los sistemas de venta de boletos pueden utilizar CAPTCHA para restringir que los vendedores ambulantes compren enormes cantidades de boletos de reventa. También se puede utilizar para evitar alistamientos falsos en ocasiones libres.
- Restricción del registro para los servicios: los servicios pueden utilizar CAPTCHA para evitar que los bots envíen spam a los marcos de inscripción para crear registros falsificados. Limitar la creación de registros evita el uso indebido de los recursos de un servicio y reduce las posibilidades de fraude.
- Mantener la precisión de la encuesta: los CAPTCHA pueden evitar la inclinación de la encuesta al garantizar que cada voto sea ingresado por un ser humano. Aunque esto no restringe el número general de votos que se pueden realizar, alarga el tiempo necesario para cada voto, lo que debilita numerosos votos.
¿Cómo funciona?
Los CAPTCHA funcionan proporcionando información a un cliente para que la traduzca. Los CAPTCHA habituales proporcionaron números y letras superpuestos o distorsionados que un usuario en ese momento debe enviar a través de un campo de estructura. La flexión de las letras dificulta a los bots descifrar el contenido e impide la entrada hasta que se verifiquen los caracteres.
Desde que se presentó CAPTCHA, se han creado bots que utilizan IA. Estos bots están mejor preparados para distinguir CAPTCHA convencionales con algoritmos preparados en el reconocimiento de patrones. Debido a este giro de los acontecimientos, las estrategias CAPTCHA más actuales dependen de pruebas más impredecibles. Por ejemplo, los trabajos de reCAPTCHA requieren hacer clic en una región en particular y mantenerlo hasta que se acabe el tiempo.
Esta versión del CAPTCHA fue desarrollada por investigadores de la Universidad Carnegie Mellon y comprada por Google en 2009. Originalmente, usaba las mismas palabras distorsionadas que los CAPTCHA anteriores, pero con una gran diferencia. En lugar de palabras al azar, se utilizaron fragmentos de texto para ayudar a digitalizar libros de Google Books y The New York Times.
Con el tiempo, reCAPTCHA se expandió para incluir imágenes de letreros de calles y otro texto de Google Street View. Esto permite que cada CAPTCHA resuelto ayude a mejorar el aprendizaje automático de Google.
A partir de 2019, los tipos de selección de imágenes son los únicos de pruebas que ofrece reCAPTCHA. Sin embargo, Google ha avanzado mucho para que los CAPTCHA sean menos molestos para los usuarios humanos.
En muchos casos, simplemente tienes que marcar una casilla que diga que no soy un robot (Google lo llama noCAPTCHA). Cuando lo haces, el CAPTCHA realiza un análisis de tu actividad en el sitio para determinar si eres un humano o un robot. Por ejemplo, analiza los movimientos del ratón y las cookies para determinar si eres un usuario legítimo.
Si no pasas la prueba automatizada, verás un mensaje que te pedirá que selecciones todas las imágenes que coincidan con una descripción determinada. Esto mejora Google Maps al ver si puedes identificar correctamente las imágenes, que es algo con lo que las computadoras luchan.
Además, la última versión de reCAPTCHA incluso realiza análisis en segundo plano sin alertar al usuario. Puede predecir el comportamiento automatizado y tomar medidas automáticamente.
Tipos
Los tipos de CAPTCHA actuales son:
- Imagen CAPTCHA: Estos CAPTCHA se crearon para reemplazar a los basados en texto. Los CAPTCHA basados en imágenes utilizan componentes gráficos llamativos, por ejemplo, escenas, formas o animales. Normalmente, estos CAPTCHA esperan que los usuarios elijan imágenes que coordinen un tema o que distingan imágenes que no encajan.
- CAPTCHA de audio: Estos CAPTCHA se crearon como una electiva que otorga apertura a los usuarios con impedimentos externos. Los CAPTCHA de audio se utilizan con frecuencia en combinación con CAPTCHA basados en imágenes o de texto. Estos CAPTCHA presentan un relato de audio de una progresión de números o letras que ingresa un usuario en ese punto.
- CAPTCHA basados en texto: Los CAPTCHA basados en texto son la primera forma en que se verificó a las personas. Estos CAPTCHA pueden utilizar frases o palabras conocidas o combinaciones arbitrarias de letras y dígitos. Algunos CAPTCHA basados en contenido también recuerdan las variedades para el uso de mayúsculas. El CAPTCHA presenta estos personajes de una manera que se aleja y requiere traducción. La alienación puede incluir caracteres de distorsión, rotación y escala. Asimismo, puede incluir personajes de cobertura con componentes realistas como puntos, arcos, líneas, ruido de fondo o color.
- Sin CAPTCHA ReCAPTCHA: Sin CAPTCHA ReCAPTCHA, conocido por su uso por parte de Google, es mucho más simple para los usuarios que la mayoría de los diferentes tipos. Da una casilla de verificación que dice «No soy un robot», que los clientes deben elegir, y eso es todo en pocas palabras.
- Inicio de sesión en redes sociales: una opción común en contraste con CAPTCHA es esperar que los usuarios inicien sesión utilizando un perfil social como LinkedIn, Google o Facebook. Las sutilezas del usuario se completarán naturalmente al utilizar la utilidad de inicio de sesión único que brinda el sitio de redes sociales.
- Problemas de palabras o matemáticas: Problemas de palabras o matemáticas Los componentes CAPTCHA solicitan que los usuarios se ocupen de un problema numérico básico, por ejemplo, “5 6” o “20-5”. La suposición será que un bot pensará que es difícil distinguir la pregunta e idear una reacción. Otra variación es una cuestión de palabras, que solicita que el cliente escriba la palabra que falta en una oración o complete una agrupación de algunos términos relacionados.
Inconvenientes de usar CAPTCHA
La ventaja alucinante de CAPTCHA es que es excepcionalmente convincente contra todo, excepto los horribles bots más refinados. En cualquier caso, los componentes CAPTCHA pueden influir de manera contraria en la experiencia del usuario en su sitio.
Si tu sitio necesita una protección legítima contra los estafadores, se recomienda utilizar un CAPTCHA. Hay un par de medidas adicionales que se deben tomar al utilizar cualquier código CAPTCHA, por ejemplo, seguridad de scripts, CAPTCHA únicos e imágenes seguras.
- Algunos tipos de CAPTCHA no están disponibles para los usuarios que ven un sitio utilizando lectores de pantalla o dispositivos de asistencia.
- Algunos tipos de CAPTCHA no son compatibles con todos los navegadores.
- Puede ser difícil de comprender o utilizar para determinadas audiencias.
- Frustrante y perturbador para los usuarios.
Problemas de seguridad
CAPTCHA parece estar en todos lados. Estos personajes descuidados están en blogs, sitios web de entradas, portales de compras, lo que sea. CAPTCHA se inventó para ayudar a los sitios a distinguir a los usuarios humanos de los bots y las herramientas de piratería automatizadas. Pero sus creadores no sabían que los ciberdelincuentes algún día lo aprovecharían para evitar la detección automatizada.
Microsoft anunció recientemente que su equipo de inteligencia de seguridad había identificado una campaña de Excel maliciosa que involucraba CAPTCHA. Según la declaración de la compañía, el grupo de ciberdelincuentes CHIMBORAZO está distribuyendo documentos de Excel infectados que redirigen a los usuarios a una página de protección DDoS de Cloudflare con Google reCAPTCHA. Al resolver el rompecabezas CAPTCHA, se descarga un archivo .xls / .xlsm malicioso, que luego infecta la computadora de la víctima con el troyano GraceWire que roba contraseñas.
Malware CAPTCHA Excel llamado Campaign Dudear
Microsoft dijo que la compañía ha estado rastreando las actividades de Chimborazo desde enero de 2020. El grupo detrás de las campañas de Dudear que involucran redirectores HTML de robo de información ahora está utilizando métodos avanzados para evadir la detección. Exigir a los usuarios que completen CAPTCHA permite a los piratas informáticos eludir el análisis automatizado que utilizan los programas de seguridad para identificar y bloquear ataques.
Por lo general, los detectores de virus de correo electrónico examinan los archivos en busca de códigos, controladores, bibliotecas, etc., que se pueden explotar con el primer clic. Otros programas recopilan muestras de malware y las ejecutan en máquinas virtuales para realizar un análisis exhaustivo. Pero requiere un CAPTCHA significa que el análisis solo se puede realizar después de que el usuario descargue un archivo malicioso. Por lo tanto, el análisis automatizado se deja en un segundo plano, lo que aumenta las probabilidades de que el código explotable escape a la detección y ayuda a los adversarios a implementar GraceWire.
Microsoft denominó Dudear a la campaña CAPTCHA Excel en curso, ya que es parte de una campaña de phishing más grande que tiene como objetivo inyectar la carga útil GraceWire en los sistemas de los usuarios.
Microsoft también ha establecido la forma en que Chimborazo ha estado distribuyendo archivos de Excel. Inicialmente, el grupo distribuía documentos infectados a través de archivos adjuntos en campañas de phishing. Más tarde, lo difundieron a través de enlaces web incrustados. Luego, el grupo experimentó con mensajes de phishing con enlaces que conducían a sitios web redirectores (también conocidos como sitios web legítimos comprometidos) o archivos adjuntos HTML que contenían una etiqueta iframe maliciosa.
En cualquier caso, se le pide al objetivo que resuelva CAPTCHA antes de que pueda descargar el documento. Una vez que lo hacen, el documento de Excel publica macros que instalan el troyano GraceWire para robar información confidencial como el correo electrónico y las contraseñas bancarias en línea.
La técnica de bypass CAPTCHA no es algo nuevo
Las técnicas de evasión basadas en CAPTCHA no son infrecuentes. El año pasado, los investigadores de seguridad de Cofense detectaron una campaña de phishing que se basaba en CAPTCHA para evadir las pasarelas de correo electrónico seguras. Las investigaciones revelaron que los adversarios estaban enviando a las organizaciones objetivo correos electrónicos que contenían un mensaje de voz voip2mail de un compañero de trabajo. Si un usuario hace clic en la URL para escuchar el mensaje de voz, se lo lleva a una página web donde se pide que resuelva un acertijo CAPTCHA.
Al resolver el CAPTCHA, se le solicita al usuario que elija una cuenta de Microsoft e inicie sesión. Una vez que lo hacen, los ciberdelincuentes roban toda la información ingresada. Aquellos que implementaron esta técnica también fueron lo suficientemente inteligentes como para usar una página web diferente para la prueba de verificación de Captcha. Lo que esto significa es que hacer clic en CAPTCHA redirige una página web que aloja el malware, mientras que la página original permanece limpia.
Entonces, cuando un SEG (puerta de enlace segura de correo electrónico) escaneaba la URL de la página web presente en el correo de voz, solo podía escanear hasta la primera página que solicitaba el CAPTCHA, que no contenía ningún malware. El uso de la página web en capas obliga al SEG a marcar la primera página como segura y dejar pasar al usuario.