Trend Micro ha revelado un hecho preocupante: la aparición de un nuevo método, y por el momento, único, creado por una red de ciber-delincuentes para sortear el desafío que suponen las avanzadas pruebas de seguridad CAPTCHA. Así lo pone de manifiesto una reciente investigación llevada a cabo por TrendLabs, la organización mundial de investigación y soporte de esta compañía.

Las pruebas CAPTCHA (Completely Automated Public Turing Test to tell Computers and Humans Apart), consisten en unas pruebas de desafío-respuesta empleadas a menudo en informática con el fin de determinar si el usuario es una persona o si se trata de una máquina.

Mientras que los métodos tradicionales basados en programas robots utilizados para sortear los controles de seguridad fueron eficaces en la identificación de cuentas en un 30 - 35% por ciento de los casos, el nuevo proceso CAPTCHA que implica la intervención de las personas se encuentra mucho más cerca del cien por cien. Como resultado, los ciber-delincuentes han incrementado el número de cuentas que tienen disponibles para llevar a cabo sus actividades maliciosas.

Trend Micro ha confirmado que uno de los principales proveedores de correo electrónico gratuito ya ha sido víctima de este método y que una gran cantidad de cuentas han sido robadas mediante el empleo, por parte de los ciber-criminales, de grupos de trabajadores dedicados a quebrantar la seguridad CAPTCHA.

Método a conciencia

"La industria de la ciber-delincuencia ha dejado de ser un dominio exclusivo de particulares para pasar al ámbito de las bandas organizadas con grandes cantidades de efectivo disponible. Al emplear a personas que solucionan el problema del código CAPTCHA, por una ínfima cantidad que oscila entre los 2,50 y 3,75 euros al día, los delincuentes logran el acceso a millones de cuentas registradas", comenta Rik Ferguson de Trend Micro.

El proceso funciona de la siguiente manera: El programa robot visita la página de inscripción y rellena el formulario con datos aleatorios. A continuación, cuando aparece la verificación CAPTCHA, el programa robot envía el mensaje a un terminal informático ubicado en India. Después viene la labor de estos trabajadores, que introducen la combinación correcta de letras y números y vuelven a enviar la información al programa robot. Entonces, el programa robot introduce la respuesta y completa el proceso de registro. De este modo, los creadores de spam ya tienen acceso gratuito a las cuentas de miles de usuarios, a las que será enviado todo el correo basura.

"Estas cuentas pueden utilizarse para enviar millones de mensajes de spam con el objetivo de infectar a los usuarios con distintos tipos de malware como, por ejemplo, las aplicaciones de registro de pulsaciones, cuya misión es robar la información personal, incluidos datos bancarios o contraseñas", aclara Ferguson.