sábado, 5 de noviembre de 2011

Los programas robots maliciosos se vuelven más hábiles para asaltar sitios-web

Los programas robots maliciosos se perfeccionan para asaltar barreras de sitios-webs y acceder a páginas de redes sociales para manipular datos confidenciales personales. Esto lo han demostrado reccientemente dos investigaciones investigaciones universitarias.
(imagen: via Cleper.ru)
1. Se trata del equipo de la Universidad de Stanford, conformado por:  Jhon Mitchell, Eli Burstein y Mathew Martin, que creó una herramienta para interpretar (descifrar) captchas [CAPTCHA - es un test especial, denominado test de Turing, que sirve para distinguir al ser humasno y al ordenador. El test debe de ser elaborado de tal manera para que sólo lo hagan seres humanos. Estos tipos de test los utilizan los titulares de distintos sitios-web para bloquear el registro automático de spam-boots] (o dicho de otro manera: son imágenes que enmascaran una serie de letras y números que el internauta debe de copiar para poder acceder en la página de un determinado sitio-web de Internet, o, por decir, al correo o para participar en una encuesta). El fin de este test es evitar que los programas robots maliciosos puedan acceder al servicio virtual. Pero, lamentablemente los captchas son frágiles y los algorítmos inteligentes perfeccionan cada vez más la capacidad de los programas robots maliciosos para descifrar los captchas para acceder así al sitio-web deseado. Dicha herramienta se denomina Decaptcha y fue creada solo para fines académicos. Tal como explicaron los investigadores a Cnet, muchos captchas se diseñan sin probar su efectividad. Ellos sugieren la necesidad de mejorar los obstáculos para que sean menos legibles para los programas robots maliciosos.
Decaptcha descifró el 66% de los captchas usados en un sitio de Visa y el 70% del sitio de la empresa
de videojuegos Blizzard. Wikipedia presentó una fragilidad del 25%.
Sólo los captchas del sitio de Google (ReCaptcha - herramienta que compró Google en 2009 y que es de uso libre) resistieron al ataque de los programas robots maliciosos.
Según Igor Unanue, director de I+D de la empresa de seguridad S21SEC, "El objetivo de estos test visuales es impedir que sistemas automáticos puedan ser utilizados para ingresar en un sitio-web y recuperar información. Pero los captchas son infalibles. Minimizan este riesgo, pero no lo anulan totalmente".  Además agregó que existen sistemas más efectivos, pero que son más engorrosos para el internauta y no se utilizan. "hay que tener claro que los captchas no son contraseñas".
2. Del equipo de la Universidad de Vancouver (Canadá), que se centró en las redes sociales y la facilidad para crear perfiles falsos y captar amigos reales. Probaron un centenar de programas robots maliciosos (Socialbots o programas robots sociales) que se dedicaron a  abrir perfiles inventados en Facebook. En este caso, Facebook participó como una OSN (red social en línea), lo que implica que cualquier sitio-web de medios de comunicación social es susceptiple a un enfoque similar.
 Estos programas robots sociales crearon perfiles con nombres supuestos y captaron 250 GB de datos personales de miembros de la red. estos programas robots, una vez creado el perfil, enviaron solicitudes de amistad a 5.053 miembros de Facebook escogidos al azar. Cada cuenta enviaba al día 25 peticiones, por el hecho de que un envío masivo sería más fácilmente detectado por los sistemas de seguridad de Facebook. En la primera fase del envío, fueron aceptadas 976 solicitudes de amistad.
En una segunda fase, se enviaron 3.517 solicitudes a amigos de quienes habían aceptado la petición en la primera fase. Para este caso, el índice de amistades aceptadas creció  hasta 2.079 miembros.
Es decir que las redes sociales ofrecen facilidad de infiltración, porque sus mecanismos de protección, como los de Facebook, no son plenamente eficaces en la detección y eliminación de estos perfiles falsos. Solo un 20% de ellos fueron bloquedos despues de que algún miembro los marcara como origen de spam.
(fuentes: Cleper.ru; ElPais.es; News.cnet.com)  

No hay comentarios:

Publicar un comentario