Trend Micro ha revelado un hecho preocupante: la aparición de un nuevo método, y por el momento, único, creado por una red de ciber-delincuentes para sortear el desafío que suponen las avanzadas pruebas de seguridad CAPTCHA. Así lo pone de manifiesto una reciente investigación llevada a cabo por TrendLabs, la organización mundial de investigación y soporte de esta compañía.
Las pruebas CAPTCHA (Completely Automated Public Turing Test to tell Computers and Humans Apart), consisten en unas pruebas de desafío-respuesta empleadas a menudo en informática con el fin de determinar si el usuario es una persona o si se trata de una máquina.
Mientras que los métodos tradicionales basados en programas robots utilizados para sortear los controles de seguridad fueron eficaces en la identificación de cuentas en un 30 - 35% por ciento de los casos, el nuevo proceso CAPTCHA que implica la intervención de las personas se encuentra mucho más cerca del cien por cien. Como resultado, los ciber-delincuentes han incrementado el número de cuentas que tienen disponibles para llevar a cabo sus actividades maliciosas.
Trend Micro ha confirmado que uno de los principales proveedores de correo electrónico gratuito ya ha sido víctima de este método y que una gran cantidad de cuentas han sido robadas mediante el empleo, por parte de los ciber-criminales, de grupos de trabajadores dedicados a quebrantar la seguridad CAPTCHA.
Método a conciencia
El proceso funciona de la siguiente manera: El programa robot visita la página de inscripción y rellena el formulario con datos aleatorios. A continuación, cuando aparece la verificación CAPTCHA, el programa robot envía el mensaje a un terminal informático ubicado en India. Después viene la labor de estos trabajadores, que introducen la combinación correcta de letras y números y vuelven a enviar la información al programa robot. Entonces, el programa robot introduce la respuesta y completa el proceso de registro. De este modo, los creadores de spam ya tienen acceso gratuito a las cuentas de miles de usuarios, a las que será enviado todo el correo basura.
"Estas cuentas pueden utilizarse para enviar millones de mensajes de spam con el objetivo de infectar a los usuarios con distintos tipos de malware como, por ejemplo, las aplicaciones de registro de pulsaciones, cuya misión es robar la información personal, incluidos datos bancarios o contraseñas", aclara Ferguson.
Eweek (18-04-2008)
