El código CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), utilizado para distinguir si es una persona o un software la que está ante un formulario web, ha sido vulnerado, lo que permite la creación masiva de cuentas ficticias de Gmail, usadas principalmente para distribuir spam.

Después que el código CAPTCHA fuese vulnerado recientemente, los ataques contra el mayor servicio de correo electrónico gratuito del mundo han aumentado en intensidad.

El método fue inicialmente quebrantado con Hotmail, y ahora le toca el turno a Google.

La consultora Websense ha publicado una captura de pantalla que muestra la forma en que distribuidores de spam han logrado crear cuentas de correo electrónico automáticamente en el sistema. Hasta ahora, Gmail ha sido considerado como un servicio de correo protegido del spam, pero la situación podría cambiar muy pronto.

Los distribuidores de spam han logrado aparentemente eludir el sistema de protección CAPTCHA, que en principio debería asegurar que el inicio de sesiones ha sido realizado por un ser humano y no por una máquina. Esto se hace posible al solicitarse al usuario escribir algunas combinaciones alfanuméricas presentadas en pantalla como gráficos.

El método Captcha de filtrado se inventó en el 2002. Le tomó menos de 6 años a los desarrolladores de contraseguridad el lograr vulnerar este método. 

El análisis completo del caso puede leerse en el blog de Websense.

Fuente: DiarioTI