Un bot consigue saltarse reCAPTCHA v3 de Google por primera vez

Software

Google lanzó reCAPTCHA v3 hace casi medio año, con una nueva versión que no requería ni siquiera confirmar que no éramos un bot, sino que era el propio sistema de Google el que podía determinarlo basándose en aspectos como la forma en la que el usuario ha movido el ratón por esa web o por otras webs. Sin embargo, un grupo de investigadores ha abierto la puerta a saltarse este método con un nuevo sistema basado en IA.

reCAPTCHA v3 es vulnerable siempre que revierta a reCAPTCHA v2 para identificar humanos

Este sistema hace creer a reCAPTCHA que un bot es humano. Los catpchas han ido avanzando, pasando en su primera versión de introducir texto a solo tener que pulsar en una casilla en la v2 para confirmar que no eres un robot, o identificar fotos si se detectaba cualquier comportamiento extraño. En la V3, esto ya no es necesario y ni siquiera las webs tienen que mostrar el proceso de identificación.

recaptcha v3 google

El sistema de texto ya fue crackeado en su momento, mientras que el de las imágenes se podía saltar con la versión para personas con discapacidades visuales a través de reconocimiento de voz. Sin embargo, con V3 no ha habido posibilidad de crackeo debido a lo oculto del sistema, donde el captcha ofrece a la web una puntuación de 0 a 10 en función de la probabilidad de que el visitante sea humano. Google no ha dicho qué información usa, pero entre ella cabría esperar el navegador usado, la dirección IP, si está logueado con una cuenta de Google, etc.

Si el sistema detecta algún fallo o que puedes ser un bot, automáticamente revierte al sistema de reCAPTCHA v2, donde tienes que pinchar en la casilla. Es este sistema el que han conseguido saltarse gracias a una IA que emula el movimiento de los humanos con el ratón, y que puede engañar perfectamente no solo al v2, sino también al v3 cuando detecta comportamientos extraños, ya que esta versión revierte a la anterior en esas situaciones.

La IA que han creado tiene éxito un 97,4% de las veces

La IA, que utiliza un sistema de machine learning llamado «reinforcement learning«, usa un software que busca el mejor camino para llevar a cabo con éxito su misión, y va recibiendo premios conforme avanza dividiendo las zonas de avance en pequeños recuadros. Si en esa zona consigue engañar al sistema de Google, se le da un premio. Así, consiguieron con éxito saltarse el captcha en un 97,4% de las ocasiones.

Este sistema, por si solo, puede que necesite otros sistemas complementarios. Por ejemplo, debería poder usarse en un ordenador o navegador que ya sea de fiar y esté logueado con una cuenta de Google con una IP única. Si se usa a través de TOR o con un proxy, el captcha pide otro tipo de inputs al usuario. Por ello, si bien este ataque es un buen comienzo, todavía falta mucho para conseguir saltarse los sistemas de protección que Google ha implementado en miles de webs en todo el mundo.

Escrito por Alberto García

Fuente > Wired