Q.E.P.D. las pruebas CAPTCHA

En la conferencia RSA 2021 en línea, los investigadores hablaron sobre las granjas de CAPTCHA.

En una mesa de debate en la Conferencia RSA 2021 sobre Ataques web y fraude en línea, los investigadores analizaron las lecciones que se derivan de los estudios de tácticas de los cibercriminales y los ataques a organizaciones grandes. Un orador, ex funcionario de la policía, Dan Woods, habló sobre su experiencia capacitándose como trabajador en una granja de CAPTCHA. El trabajador era abundante y la paga escasa (unos 3 dólares al día), pero su principal conclusión fue que las pruebas CAPTCHA ya no cumplen con su propósito.

En términos generales, si una interfaz está creada para humanos, no es necesario que un bot tenga acceso a ella. Los programas se comunican entre ellos mediante API, no interfaces de usuario. Cuando un bot intenta acceder a un recurso o servicio online mediante una interfaz de usuario es casi seguro que se trate de un intento de explotación.

Durante muchos años, las pruebas CAPTACHA —un mecanismo para distinguir usuarios humanos de computadoras— ha combatido en solitario a los bots ilegales. Muchos servicios, incluidos sistemas de banca en línea y programas de lealtad, aún lo utilizan. ¿Pero todavía es confiable?

¿Qué es una granja de clics?

Una granja de clics es el elemento humano del fraude de clics: muchas personas hacen clic en los anuncios que pagan por clic, o impulsan el lugar de las páginas web en las búsquedas, o aumentan los me gusta, las vistas, los votos y otras métricas. Antes los bots tenían esta tarea, pero debido al uso de algoritmos antifraude, los estafadores se vieron en la necesidad de involucrar a personas reales.

Algunas granjas de clics, como la que contrató a Woods, se especializan en servicios de CAPTCHA, relevando a los bots que tienen problemas de verificación.

El trabajador de una granja de CAPTCHA se encarga de tareas que son muy simples para una persona, pero que para una máquina son complejas y, por tanto, no se le pueden confiar. Pueden seleccionar imágenes donde aparezca un hidrante, descifrar una secuencia distorsionada de letras, resolver una ecuación aritmética muy simple y varias tareas similares.

Es posible que hayas visto una variación del tema de esta imagen circulando en línea:

Meme de Internet sobre robots y CAPTCHA

Meme de Internet sobre robots y CAPTCHA

Pues bueno, no solo es una broma.

¿Necesitas el CAPTCHA?

Los usuarios nunca han sido muy adeptos al mecanismo de CAPTCHA. Siempre hay margen de error: hacer clic por accidente en la imagen incorrecta, que falté el hidrante que estaba escondido al fondo, que falte un carácter en la sopa de letras y números. Incluso si nada sale mal, el proceso de CAPTCHA resulta en una UX (experiencia del usuario) negativa, lo que significa que perturba el flujo y le quita puntos a la experiencia del usuario.

Al mismo tiempo, las granjas de CAPTCHA no son las únicas herramientas enfocadas en CAPTCHA de los estafadores. Algunos, por ejemplo, todavía tratan de crear inteligencia artificial capaz de resolver estos acertijos. Con todo y sus imperfecciones los mecanismos de CAPTCHA representan un nivel más de protección, y, por lo tanto, usarlos parece razonable. Pero nunca nada es tan sencillo.

Alternativas al CAPTCHA

Las pruebas CAPTCHA ya no son confiables para proteger de los intrusos y, además, son molestas para los usuarios reales. En resumen, parece que ya es momento de dejar atrás este mecanismo anticuado.

Sin embargo, por fortuna, estas pruebas son los únicos medios automatizados para determinar si un humano o una máquina tratan de acceder al sistema. Si quieres una mejor opción, te recomendamos la autenticación avanzada de Kaspersky Fraud Prevention, la cual elimina los pasos de autenticación innecesarios y crea una experiencia sin interrupciones para el usuario.

Gracias a las tecnologías de aprendizaje automático, la autenticación avanzada utiliza un análisis extenso del comportamiento del usuario, indicadores biométricos pasivos, datos sobre el dispositivo desde el cual se solicita la autenticación, su entorno, y aún más para decidir rápida y correctamente si permitir o no al usuario iniciar sesión, realizar verificaciones adicionales y restringir el acceso. El objetivo central de la tecnología es determinar si es una persona o una máquina quien solicita el acceso al servicio.

Aquí puedes encontrar más detalles sobre la solución.

Consejos