{"id":8207,"date":"2016-04-19T15:45:41","date_gmt":"2016-04-19T15:45:41","guid":{"rendered":"https:\/\/kasperskydaily.com\/spain\/?p=8207"},"modified":"2017-05-18T19:14:42","modified_gmt":"2017-05-18T19:14:42","slug":"googles-recaptcha-defeated-by-security-researchers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/googles-recaptcha-defeated-by-security-researchers\/8207\/","title":{"rendered":"Los investigadores de seguridad encuentran fallos en reCAPTCHA"},"content":{"rendered":"<p>Empecemos con el origen de la palabra \u201ccaptcha\u201d. Se trata del acr\u00f3nimo de <em>Completely Automated Public <\/em><a href=\"https:\/\/en.wikipedia.org\/wiki\/Turing_test\" target=\"_blank\" rel=\"noopener nofollow\"><em>Turing test<\/em><\/a><em> to tell Computers and Humans Apart <\/em>(<a href=\"https:\/\/es.wikipedia.org\/wiki\/Prueba_de_Turing\" target=\"_blank\" rel=\"noopener nofollow\">prueba de Turing<\/a> completamente autom\u00e1tica y p\u00fablica para diferenciar a los ordenadores de los humanos). La idea que hay detr\u00e1s de la tecnolog\u00eda de captcha (y detr\u00e1s de la prueba de Turing original) es simple: se trata de una prueba que los seres humanos pueden superar y que los <em>bots online<\/em> no pueden. El captcha generalmente tiene la forma de una imagen de texto distorsionada que el usuario debe teclear con el fin de verificar que no se trata de una m\u00e1quina.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-8015\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/04\/05220426\/recaptcha-featured-1.png\" alt=\"recaptcha-featured\" width=\"1279\" height=\"840\"><\/p>\n<p>La tecnolog\u00eda de captcha es importante porque proporciona seguridad de forma sencilla y pr\u00e1ctica en varios aspectos, por ejemplo: sirve como protecci\u00f3n al momento de registrarse en p\u00e1ginas web, previene el <em>spam <\/em>en los comentarios de los blogs, asegura que solo los seres humanos voten en las encuestas online, etc. Sin la tecnolog\u00eda de captcha, los que env\u00edan <em>spam <\/em>podr\u00edan aprovecharse de la situaci\u00f3n mediante la creaci\u00f3n de varias cuentas, dejando una gran cantidad de comentarios o votando una infinidad de veces en la misma encuesta.<\/p>\n<p>Las primeras versiones de captcha eran relativamente f\u00e1ciles de burlar. Como resultado se produjo una batalla entre los hackers y los desarrolladores de captcha, cuando los primeros derribaban una versi\u00f3n del captcha, estos \u00faltimos lanzaban una nueva versi\u00f3n, mucho m\u00e1s fuerte.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">\"Google's ReCaptcha is simplest way of getting rid of bots. No math problems required!\" <a href=\"https:\/\/twitter.com\/jgamboa?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@jgamboa<\/a>  <a href=\"https:\/\/twitter.com\/hashtag\/WPEProTip?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WPEProTip<\/a> <a href=\"https:\/\/t.co\/bPOegSbmbz\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/bPOegSbmbz<\/a><\/p>\n<p>\u2014 WP Engine (@wpengine) <a href=\"https:\/\/twitter.com\/wpengine\/status\/720719567564222467?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 14, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Despu\u00e9s, Google sali\u00f3 a escena lanzando su <a href=\"https:\/\/www.google.com\/recaptcha\/intro\/index.html\" target=\"_blank\" rel=\"noopener nofollow\">reCAPTCHA<\/a>, que ahora est\u00e1 considerado de forma no oficial como el captcha est\u00e1ndar. Este no solo utiliza texto distorsionado, sino tambi\u00e9n im\u00e1genes, y est\u00e1 considerado como uno de los servicios de captcha m\u00e1s fuertes. La tecnolog\u00eda de reCAPTCHA de Google es utilizada por el propio Google, Facebook y muchas otras p\u00e1ginas web como un medio de protecci\u00f3n contra el <em>spam<\/em> y el abuso. De hecho, reCAPTCHA es el proveedor de captcha m\u00e1s popular del mundo.<\/p>\n<p><em>Por desgracia, esta tecnolog\u00eda podr\u00eda no ser tan infalible como se cre\u00eda.<\/em><\/p>\n<p>Los investigadores de seguridad de la Universidad de Columbia <a href=\"http:\/\/www.cs.columbia.edu\/~polakis\/papers\/sivakorn_eurosp16.pdf\" target=\"_blank\" rel=\"noopener nofollow\">han descubierto fallos en la tecnolog\u00eda de reCAPTCHA de Google<\/a> que pueden abrir la puerta a los hackers para influir en el an\u00e1lisis de riesgos, burlar las restricciones y distribuir ataques a gran escala.<\/p>\n<p>Los investigadores afirmaron ser capaces de dise\u00f1ar un ataque de bajo coste que resuelve con \u00e9xito m\u00e1s del 70 % de los retos de la imagen de reCAPTCHA y cada desaf\u00edo requiere una media de solo 19 segundos para resolverlo. Tambi\u00e9n aplicaron el sistema a la imagen de captcha de Facebook y encontraron un nivel de precisi\u00f3n del 83,5 %. Al parecer, el hecho de que Facebook presente una mayor precisi\u00f3n es debido a que las im\u00e1genes de Facebook son de mayor resoluci\u00f3n.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/euRAfUGX8wY?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>El sistema utiliza t\u00e9cnicas que le permiten eludir las <em>cookies<\/em> y <em>tokens<\/em>, y utiliza el aprendizaje autom\u00e1tico como una forma de adivinar correctamente las im\u00e1genes utilizadas. Lo curioso es que este sistema de burlado del reCAPTCHA funciona mediante el uso de la propia herramienta de b\u00fasqueda inversa de im\u00e1genes de Google. Pero tambi\u00e9n funciona sin conexi\u00f3n a Internet.<\/p>\n<p>Seg\u00fan <a href=\"http:\/\/www.scmagazineuk.com\/security-researchers-defeat-recaptcha\/article\/488228\" target=\"_blank\" rel=\"noopener nofollow\">afirmaron los investigadores<\/a>, haciendo especial hincapi\u00e9 en la simplicidad y la rentabilidad de este ataque en concreto: <em>\u201cSin embargo, nuestro sistema de burlado de captcha sin conexi\u00f3n a Internet es comparable a un servicio de resoluci\u00f3n de problemas profesional tanto en la precisi\u00f3n, como en la duraci\u00f3n del ataque, con la ventaja a\u00f1adida de no incurrir en ning\u00fan coste por parte del atacante\u201d.<\/em><\/p>\n<p>Antes de que los resultados se hicieran p\u00fablicos, los investigadores alertaron a Google y Facebook para informarles de estos posibles problemas. Seg\u00fan afirmaron, Google respondi\u00f3 tratando de mejorar la seguridad de reCAPTCHA, pero Facebook no parece haber tomado ninguna medida para mejorarlo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Best captcha I've seen for a while. <a href=\"https:\/\/t.co\/tVvbwjmTLC\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/tVvbwjmTLC<\/a><\/p>\n<p>\u2014 Siddharth Vadgama (@siddvee) <a href=\"https:\/\/twitter.com\/siddvee\/status\/719940464628142080?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Los investigadores creen que los hackers podr\u00edan cobrar unos 2 d\u00f3lares por 1.000 captchas resueltos, una cantidad razonable, por lo tanto, podr\u00edan ganar m\u00e1s de 100 d\u00f3lares al d\u00eda. Las ganancias podr\u00edan ser a\u00fan mayores si lanzaran ataques m\u00faltiples o utilizaran t\u00e9cnicas adicionales.<\/p>\n<p>La investigaci\u00f3n nos muestra que todav\u00eda hay mucho por hacer en el mundo de la ciberseguridad, pero tambi\u00e9n da la oportunidad de que muchas empresas, como Google, sigan mejorando sus medidas de seguridad actuales. Google ya ha mostrado inter\u00e9s en fortalecer su seguridad, y esperemos que otras p\u00e1ginas web sigan el mismo camino.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un grupo de investigadores de seguridad han descubierto importantes errores en la tecnolog\u00eda de reCAPTCHA de Google.<\/p>\n","protected":false},"author":699,"featured_media":8208,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[1767,265,16],"class_list":{"0":"post-8207","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-captcha","9":"tag-ciberseguridad","10":"tag-google"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/googles-recaptcha-defeated-by-security-researchers\/8207\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/googles-recaptcha-defeated-by-security-researchers\/5923\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/7046\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/7039\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/googles-recaptcha-defeated-by-security-researchers\/8013\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/googles-recaptcha-defeated-by-security-researchers\/7464\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/googles-recaptcha-defeated-by-security-researchers\/4144\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/googles-recaptcha-defeated-by-security-researchers\/11089\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/googles-recaptcha-defeated-by-security-researchers\/11880\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/captcha\/","name":"Captcha"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8207","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/699"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=8207"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8207\/revisions"}],"predecessor-version":[{"id":10875,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8207\/revisions\/10875"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/8208"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=8207"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=8207"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=8207"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}