El sistema de verificación reCaptcha ha sido vulnerado

Publicado el 11 abril 2016
Archivado en General | Salir del comentario

El sistema de verificación reCaptcha era uno de los mejores de Internet. Su principal responsable es Google, empresa que lo ha desarrollado y ejecutado para lograr identificar a los robots que se estaban haciendo pasar por usuarios. Cuando una página web necesitaba de un sistema para verificar la identidad, instalaban este reCaptcha, hasta ahora infalible en todos sus propósitos.

reCaptcha

El servicio reCaptcha y su nueva API eran gratuitos. Cualquier podía instalarlo en su página web para evitar usos abusivos. La eficiencia era del 100%, pero ahora se ha conocido que los hackers han conseguido vulnerar el sistema y hacerse pasar por usuarios legítimos. Tres investigadores de seguridad de la Universidad de Columbia, en Nueva York, han publicado un informe en el que han demostrado cómo saltar la seguridad con un software diseñado para eso.

Para saltar la medida de seguridad han analizado los procesos que se llevan a cabo y el comportamiento, llegando a enseñar a su software a saltar los patrones de seguridad del sistema. En el documento se afirma que han podido saltar reCaptcha con un 70,78% de efectividad, un proceso que solo les ha durado 19 segundos. El programa que asalta las medidas no ha sido publicado, pero Google tendrá que actualizarlo para evitar que los bots puedan identificar las vulnerabilidades.

Los sistemas de verificación siempre han estado en el punto de mira. El reCaptcha de Google ha sido el único que era seguro. Hasta la llegada de este ataque. Google deberá actualizarlo para que siga permitiendo dejar pasar solo a los usuarios legítimos. Si los bots tienen éxito con sus ataques, los usuarios se verán en peligro y será necesario desarrollar nuevas soluciones.

Si queréis instalar reCaptcha en vuestra página web, Google ofrece el sistema de forma gratuita a todos los usuarios interesados. Solo tenéis que implementar la API en el código de vuestra web.

Vía | Naked Security

Comentarios

No hay mas respuestas