El lado oculto de Google reCAPTCHA v3

  • 1 Respuestas
  • 847 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado K A I L

  • *
  • Ex-Staff
  • *****
  • Mensajes: 163
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil

El lado oculto de Google reCAPTCHA v3

  • en: Julio 02, 2019, 09:17:34 am

Por primera vez en la historia de los CAPTCHAS desaparece la necesidad de que el usuario tenga que introducir un texto ilegible en un campo de verificación, que tenga que marcar esa casilla de «no soy un robot» o peor aún, que tenga que indicar qué imágenes de un mosaico corresponden con la de un gato.

Según explicaban los ingenieros de Google, la nueva versión de reCAPTHA no exige nada al usuario. Se ejecutará en segundo plano, e irá identificando y clasificando automáticamente a los usuarios entre robots o humanos, utilizando un sistema de puntuación basado sobre las pautas de su actividad, elaborando distintos perfiles de riesgo.

Todo esto suena por supuesto estupendamente bien. La navegación se convierte en una experiencia mucho más fluida y transparente y las web que integran el nuevo reCAPTCHA «molestan» menos a sus usuarios. Así que todos ganan: ¿O no?

Pues no está tan claro. Como ya ha denunciado un grupo de expertos en ciberseguridad, lo nuevo de Google tiene una cara mucho menos amable: la intromisión en la privacidad de los usuarios. Para comprender por qué esto es así, lo primero hay explicar cómo funciona este nuevo sistema.

La supercookie de Google

Google como la mayoría de los sitios que visitamos en Internet por primera vez, suele preguntarnos si estamos dispuestos a aceptar sus cookies. Para ellos y para nosotros, es importante. La cookie de Google nos permite entre otras cosas que sus servicios «recuerden» que ya nos hemos autenticado con anterioridad en uno de sus servicios, de modo que no tengamos que introducir nuestro nombre y nuestra contraseña cada vez que los visitamos.

Y hasta aquí bien. Pero por supuesto la cookie de Google hace más cosas, casi todas «inofensivas» hasta ahora. Y decimos hasta ahora, porque lo que denuncian estos investigadores es que para que reCAPTCHA funcione sin necesidad de «interactuar» con el usuario, lo que hace es tomar buena nota de todos sus hábitos de navegación.

De esta forma, si comprueba que navega tal y como lo haría un ser humano, le otorgará un scoring alto y por lo tanto lo considerará digno de confianza. En cambio, si sospecha que no navega tal y como lo haría una persona, el scoring será mucho menor y en este caso el servicio pondrá en marcha otras medidas de autenticación, como puede ser un doble factor.

Esto quiere decir que seamos o no usuarios de los productos de Google, las webs que implementen el nuevo sistema van a «forzar» a sus usuarios a aceptar su cookie tanto si lo quieren como si no. Y esto no son precisamente buenas noticias para los amigos de la privacidad.

Tal y como han comprobado estos investigadores, al utilizar un servicio VPN o la red TOR para acceder a los sitios que han incluido esta medida de seguridad, el sistema responde automáticamente indicando que el visitante es de alto riesgo y o bien impide completamente el acceso o bien pone en marcha otras medidas de autenticación.

En estos momentos, de las 4,5 millones de páginas web que están utilizando el sistema reCaptcha, aproximadamente 450.000 han implementado la última versión de este sistema.

FUENTE

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 926
  • Actividad:
    100%
  • Country: 00
  • Reputación 16
    • Ver Perfil
    • Email

Re:El lado oculto de Google reCAPTCHA v3

  • en: Julio 02, 2019, 04:08:18 pm
Es cierto, Google usa cookies que se integran en el sistema de reCAPTCHA.

Esto necesariamente no es negativo, y hay que recordar que este es un sistema de seguridad.
Con el despuntar de las IA, este sistema se ha visto seriamente afectado y vulnerado, comprometiéndose servicios en extremos importantes.

No solo recopila información del usuario registrado con Google; o sea que si se tiene cuentas con este, y ningún bloqueador activado, el sistema se integra, y el CAPTCHA es transparente para el usuario. Pero también recopila información como la IP, entre otros referentes al SO.

Si se usa servicios VPN, o de otra índole, el sistema conserva el IP último conque el usuario ha usado los servicios de Google, y cruza en referencia los datos.

Aun así, se están saltando los CAPTCHAS con sistemas mixtos.

Ya lo pude ver. Y para mitigar, el sistema, de manera aleatoria, le suelta una ID variable, para corroborar la identidad.

Hay toda una guerra, pues existen negocios de ventas de registros, en los cuales están involucrados hasta el crimen organizado; ej: citas de embajadas para visados, etc.
 
Para que se tenga una idea: una cita a una embajada (de ciertas naciones) puede variar desde los 300, hasta los 700 dólares. Y dichas citas solo se obtienen a través de una web online y con el sistema de reCAPTCHA.

« Última modificación: Julio 03, 2019, 05:30:09 am por AXCESS »

 

Hallan en Google play ""app"" linterna que roba datos bancarios

Iniciado por Denisse

Respuestas: 0
Vistas: 1960
Último mensaje Mayo 01, 2017, 04:18:54 am
por Denisse
Google lanzó los dominios ".soy", destinados a los hispanoparlantes

Iniciado por Alejandro_99

Respuestas: 0
Vistas: 2223
Último mensaje Octubre 19, 2014, 11:50:44 pm
por Alejandro_99
Google ofrece "Programa de recompensas de parches"

Iniciado por Dragora

Respuestas: 0
Vistas: 331
Último mensaje Diciembre 19, 2019, 09:24:44 pm
por Dragora
Primer vistazo a la Google Card "filtrada"

Iniciado por Dragora

Respuestas: 0
Vistas: 925
Último mensaje Abril 20, 2020, 09:48:08 pm
por Dragora
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3239
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon