[HACK] Los "spammers" asaltan el correo gratuito

Thu Apr 10 09:19:50 CEST 2008

13/03/08 12:56:09

LOS "SPAMMERS" ASALTAN EL CORREO GRATUITO

En lo que va de año, han roto las protecciones de Yahoo! Mail y
Hotmail y van a por Gmail

Mercè Molist
Los grandes proveedores de correo gratuito eran, hasta ahora, poco
sospechosos de mandar correo basura. Su protección eran los
CAPTCHAs: números y letras que sólo un humano puede descifrar cuando
crea una nueva cuenta, evitando así que lo hagan robots que
enviarían "spam". Pero, según diversas empresas de seguridad, los
CAPTCHAs de Hotmail, Yahoo! Mail y Gmail han sido vulnerados.

A mediados de febrero, WebSense Security Labs anunciaba que los
"spammers" habían roto el sistema de CAPTCHAs (Completely Automated
Public Turing test to tell Computers and Humans Apart) de Google, ya
que se habían detectado robots creando nuevas cuentas en Gmail desde
dos servidores interconectados.

Pero algo no cuadraba para el experto en "spam" Justin Mason: uno de
los servidores mandaba CAPTCHAs resueltos al otro con un desfase de
40 segundos, el mismo tiempo que tarda un humano en descifrar uno.
Esto apuntaría, según Mason, a una "granja de resolvedores de
CAPTCHAs": personas que los descifran manualmente, llegando a
procesar entre 300 y 500 por hora.

Mason cree que los CAPTCHAs resueltos por humanos servirían para
alimentar a un programa inteligente que aprendería de ellos y sería
el responsable de los ataques automáticos detectados en Gmail. Esto
explica su bajo porcentaje de éxitos, sólo un 20%, porque aún está
aprendiendo.

El asalto a Gmail se inscribe en un ataque general a los principales
servicios de correo gratuito, cuyos centenares de millones de
cuentas hasta ahora casi no figuraban en las listas negras de los
filtros "anti-spam". El ataque empezó en enero, cuando expertos
rusos anunciaron haber roto, con un 35% de éxitos, los de Yahoo!
Mail. En febrero, WebSense denunciaba la caída de los CAPTCHAs de
Windows Live Hotmail, el correo gratuito de Microsoft.

Luis Verdejo, de Microsoft, reconoce que "un grupo de investigadores
afirma poder hacer que un ordenador descifre nuestra protección en
un 30% de los intentos". Pero aclara: "Este no es el único método
que utilizamos para luchar contra el "spam". Estamos estudiando qué
hay de cierto y cuáles serían las medidas apropiadas. De momento no
hemos visto ningún impacto directo".

Según la compañía MessageLabs, en las últimas semanas ha aumentado
el correo basura procedente de Gmail, que ha pasado del 1,3% al 2,6%
del total que generan los servicios de correo gratuito. Yahoo! Mail,
con un 89%, tiene el crecimiento más alto. Esto confirma, según
MessageLabs, que los "spammers" ya han automatizado la creación de
cuentas en Yahoo!. Ni esta empresa ni Google han querido hacer
comentarios al respecto.

¿Ha sido roto el captcha de Gmail?
http://www.vsantivirus.com/11-03-08.htm

Google's CAPTCHA - not entirely broken after all?
http://taint.org/2008/03/05/122732a.html

Google's CAPTCHA busted in recent spammer tactics
http://www.websense.com/securitylabs/blog/blog.php?BlogID=174

Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows
Live Mail
http://www.websense.com/securitylabs/blog/blog.php?BlogID=171

Yahoo! CAPTCHA is broken
http://network-security-research.blogspot.com/2008/01/yahoo-captcha-is-broken.html

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.