_
_
_
_
_
SEGURIDAD | CiberP@ís

Los robots maliciosos ganan habilidad para asaltar webs

Dos investigaciones demuestran la facilidad con que las máquinas pueden interpretar 'captchas' o crear perfiles falsos para captar amigos

Tomàs Delclós

Los robots maliciosos cada vez están más preparados para saltar las barreras de una web y acceder a una página o captar amigos en una red social para manejar sus datos personales. Dos investigaciones universitarias de distinto enfoque lo han demostrado. Una ha diseñado robots para crear perfiles en Facebook y captar amistades. La otra se ha centrado en los llamados captchas.

Estos son unas imágenes que enmascaran una serie de letras y números que el internauta debe copiar para poder entrar en la página de un determinado sitio de Internet y, por ejemplo, acceder al correo o participar en una encuesta. El objetivo de este trámite es evitar que los robots puedan acceder al servicio. Se supone que las máquinas tienen más dificultades para descifrar una imagen donde las letras y los números, con formas distorsionadas, aparecen en un fondo visualmente confuso, ruidoso. Pero los captchas son frágiles y los algoritmos mejoran la destreza de los robots para analizar la imagen y detectar únicamente los números y las letras que abren la puerta de la web.

La brecha entre lo que descifra el ojo y la máquina se acorta
Google es el sitio que mejor ha respondido al escrutinio

Un equipo de la Universidad de Stanford ha creado una herramienta para descrifar captchas y la han aplicado con desigual éxito, pero éxito al fin y al cabo, en distintas webs, desde Amazon a Wikipedia o Visa. La herramienta se llama Decaptcha y sus autores no la distribuirán, la crearon únicamente para sus fines académicos. Según han explicado los investigadores a Cnet, muchos captchas se diseñan sin probar su efectividad. Su ensayo quiere llamar la atención sobre la necesidad de mejorar los obstáculos para que resulten menos legibles a las máquinas.

Su herramienta descifró el 66% de los captchas usados en un sitio de Visa y el 70% de los que presentaba el sitio de la empresa de videojuegos Blizzard. Wikipedia presentó una fragilidad del 25%.

El único sitio cuyos captchas resistieron a los robots universitarios fue el de Google, que usa ReCaptcha, una herramienta que compró en 2009 y es de uso libre. Una investigación anterior, realizada sobre Google por otro grupo, consiguió más éxito, pero era sobre una versión anterior de la herramienta de protección.

Para Igor Unanue, director de I+D de la empresa de seguridad S21SEC, lo que demuestra el trabajo de Stanford es que los algoritmos para descifrar captchas mejoran su capacidad para traspasarlas. "El objetivo de estos test visuales es impedir que sistemas automáticos puedan ser utilizados para entrar en una web y recuperar información. Pero los captchas no son infalibles. Minimizan este riesgo, pero no lo anulan totalmente". Según Unanue hay otros sistemas más efectivos, pero resultan más engorrosos para el internauta y no se utilizan. "Hay que tener claro que los captchas no son contraseñas".

Para este experto, la brecha entre lo que puede descifrar el ojo humano y una máquina, que está en la base de este sistema de protección, se acorta.

La otra investigación, realizada por un equipo universitario de Vancouver, en Canadá, se ha centrado en las redes sociales y la facilidad para crear perfiles falsos y captar amigos reales. Probaron durante ocho semanas un centenar de robots que se dedicaron a abrir perfiles inventados en Facebook.

Estos robots sociales crearon perfiles con nombres supuestos y captaron 250 gigabytes de datos personales de miembros de la red. Los robots, una vez creado el perfil, enviaron solicitudes de amistad. Lo hicieron a 5.053 miembros de Facebook escogidos al azar. Cada cuenta enviaba 25 peticiones al día, porque un envío masivo sería más fácilmente detectado por los sistemas de seguridad de Facebook. En una primera fase del envío, fueron aceptadas 976 solicitudes de amistad.

En una segunda fase, se enviaron 3.517 solicitudes a amigos de quienes habían aceptado la petición en la primera fase. En este caso, al cabo de seis semanas, el índice de amistades aceptadas subió notablemente. Fueron 2.079 miembros.

Ello se debe, según la investigación, a que es más fácil que alguien acepte una petición de amistad si procede de alguien con un supuesto amigo común.

El experimento ha demostrado la facilidad de infiltración que ofrecen las redes sociales y la poca exigencia de muchos miembros de las redes sociales a la hora de incorporar un nuevo amigo a su lista. Los mecanismos de protección de las redes, como los de Facebook, no resultan plenamente eficaces en la detección y eliminación de estos perfiles falsos. Únicamente un 20% de ellos fueron bloqueados después de que algún miembro los marcara como origen de spam (mensaje comercial no solicitado).

Un muestrario de <i>captchas</i> de distintas webs.
Un muestrario de captchas de distintas webs.

Recibe el boletín de televisión

Todas las novedades de canales y plataformas, con entrevistas, noticias y análisis, además de las recomendaciones y críticas de nuestros periodistas
APÚNTATE

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
_

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_