Los ciberdelincuentes están usando a otros humanos para resolver Captcha y cometer estafas

Los Captcha han sido una herramienta de seguridad que permite a los servicios en línea cribar el tráfico entre el humano y el automatizado, siendo uno de los elementos de seguridad por los que todos hemos pasado en algún momento. Ahora están en peligro al surgir bandas organizadas de ciberdelincuentes que se dedican a descrifrarlos.
Captcha, abreviatura de Completely Automated Public Turing test to tell Computers and Humans Apart (test de Turing público y automático para distinguir a los ordenadores de los humanos), es una herramienta para diferenciar a los s humanos reales de los s automatizados con el objetivo de combatir el spam y restringir la creación de cuentas falsas. Sin embargo, firmas de seguridad como Trend Micro alertan de que están surgiendo organizaciones humanas que se dedican a resolver estos rompecabezas poniéndose al servicio de quienes quieren cometer estafas.
Resolviendo Captcha para estafadores
La firma de seguridad Trend Micro ha sido muy específica con respecto a cuál es el problema que están encontrando en la actualidad para que este sistema de seguridad se esté rompiendo. No pensemos que se trata de nuevos algoritmos o el uso de la Inteligencia Artificial para que un robot pueda llegar a mentir diciendo que no lo es, sino que es un problema de humanos pagando a otros humanos.
«Debido a que los ciberdelincuentes están interesados en descifrar los CAPTCHA con precisión, se han creado varios servicios que están orientados principalmente a esta demanda del mercado. Estos servicios de resolución de Captcha no utilizan técnicas [de reconocimiento óptico de caracteres] o métodos avanzados de aprendizaje automático; en cambio, los rompen al asignar tareas de ruptura de Captcha a solucionadores humanos reales«.
«Esto facilita que los clientes de los servicios de ruptura de Captcha desarrollen herramientas automatizadas contra los servicios web en línea. Debido a que los humanos reales están resolviendo, el propósito de filtrar el tráfico automatizado de bots a través de estas pruebas se vuelve ineficaz», dijo el investigador de seguridad Joey Costoya.
Eso no es todo. Se ha observado que los actores de amenazas compran servicios que rompen CAPTCHA y los combinan con proxyware para ocultar la dirección IP de origen y evadir las barreras antibot.