Los grandes proveedores de correo gratuito eran, hasta ahora, poco sospechosos de mandar correo basura. Su protección eran los CAPTCHAs: números y letras que sólo un humano puede descifrar cuando crea una nueva cuenta, evitando así que lo hagan robots que enviarían "spam". Pero, según diversas empresas de seguridad, los CAPTCHAs de Hotmail, Yahoo! Mail y Gmail han sido vulnerados.

A mediados de febrero, WebSense Security Labs anunciaba que los "spammers" habían roto el sistema de CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) de Google, ya que se habían detectado robots creando nuevas cuentas en Gmail desde dos servidores interconectados.

Pero algo no cuadraba para el experto en "spam" Justin Mason: uno de los servidores mandaba CAPTCHAs resueltos al otro con un desfase de 40 segundos, el mismo tiempo que tarda un humano en descifrar uno. Esto apuntaría, según Mason, a una "granja de resolvedores de CAPTCHAs": personas que los descifran manualmente, llegando a procesar entre 300 y 500 por hora.

Mason cree que los CAPTCHAs resueltos por humanos servirían para alimentar a un programa inteligente que aprendería de ellos y sería el responsable de los ataques automáticos detectados en Gmail. Esto explica su bajo porcentaje de éxitos, sólo un 20%, porque aún está aprendiendo.

El asalto a Gmail se inscribe en un ataque general a los principales servicios de correo gratuito, cuyos centenares de millones de cuentas hasta ahora casi no figuraban en las listas negras de los filtros "anti-spam". El ataque empezó en enero, cuando expertos rusos anunciaron haber roto, con un 35% de éxitos, los de Yahoo! Mail. En febrero, WebSense denunciaba la caída de los CAPTCHAs de Windows Live Hotmail, el correo gratuito de Microsoft.

Luis Verdejo, de Microsoft, reconoce que "un grupo de investigadores afirma poder hacer que un ordenador descifre nuestra protección en un 30% de los intentos". Pero aclara: "Este no es el único método que utilizamos para luchar contra el "spam". Estamos estudiando qué hay de cierto y cuáles serían las medidas apropiadas. De momento no hemos visto ningún impacto directo".

Según la compañía MessageLabs, en las últimas semanas ha aumentado el correo basura procedente de Gmail, que ha pasado del 1,3% al 2,6% del total que generan los servicios de correo gratuito. Yahoo! Mail, con un 89%, tiene el crecimiento más alto. Esto confirma, según MessageLabs, que los "spammers" ya han automatizado la creación de cuentas en Yahoo!. Ni esta empresa ni Google han querido hacer comentarios al respecto.

11-04-08. Bernardo Quintero, de Hispasec, me envía esta interesante información complementaria:

No se si Justin Mason lo aclara, pero detrás de la "granja deresolvedores" hay una técnica interesante. En realidad la granja estáformada por personas anónimas de toda internet, que no saben queestán resolviendo CAPTCHAs para uso fraudulento.Funciona de la siguiente forma:
1) el servidor de los "malos" va a la página web del CAPTCHA (porejemplo google), coge ese reto de forma automática y lo presentaen una página de contenido pornográfico creada por los "malos"
2) la página web de contenido pornográfico pide que los visitantesresuelvan ese CAPTCHA para poder acceder al contenido (una foto,etc..), los usuarios resuelven el CAPTCHA de forma manual y obtienenel contenido, a su vez la solución manual es enviada al servidor delos "malos"
3) desde el servidor de los "malos" ya pueden utilizar la soluciónmanual para pasar el CAPTCHAEn una estrategia "hombre-en-medio" aplicada a los CAPTCHAs

Enlaces:

¿Ha sido roto el captcha de Gmail?
http://www.vsantivirus.com/11-03-08.htm

Google's CAPTCHA - not entirely broken after all?
http://taint.org/2008/03/05/122732a.html

Google's CAPTCHA busted in recent spammer tactics
http://www.websense.com/securitylabs/blog/blog.php?BlogID=174

Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows Live Mail
http://www.websense.com/securitylabs/blog/blog.php?BlogID=171

Yahoo! CAPTCHA is broken
http://network-security-research.blogspot.com/2008/01/yahoo-captcha-is-broken.html



Mercè Molist
http://ww2.grn.es/merce/2008/captchasbroken.html