AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Los LLM modernos desbancan a los CAPTCHAs: el fin de una era en la autenticación web

#### 1. Introducción

Durante dos décadas, los CAPTCHAs han sido la barrera más común para impedir el acceso automatizado a servicios web. Sin embargo, la irrupción de los modelos de lenguaje de última generación (LLM, por sus siglas en inglés) ha cambiado radicalmente el panorama. Según investigaciones recientes, estos sistemas basados en inteligencia artificial superan a los humanos en la resolución de CAPTCHAs, lo que pone en entredicho la eficacia y vigencia de este mecanismo de seguridad.

#### 2. Contexto del Incidente o Vulnerabilidad

Los CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) surgieron a inicios de los años 2000 como respuesta a la proliferación de spam y ataques automatizados. Estos desafíos —que pueden ser imágenes distorsionadas, puzzles visuales o reconocimiento de objetos— están diseñados para ser fáciles para humanos y difíciles para bots. Sin embargo, el desarrollo exponencial de los LLM y las capacidades de visión artificial han hecho que, en cuestión de meses, estos mecanismos hayan quedado obsoletos frente a ataques automatizados cada vez más sofisticados.

Estudios académicos publicados en 2023 y 2024 demuestran que LLM como GPT-4, combinados con modelos avanzados de reconocimiento de imagen (por ejemplo, CLIP de OpenAI), son capaces de resolver los CAPTCHAs más extendidos (incluyendo Google reCAPTCHA v2/v3) con tasas de éxito superiores al 95%, superando en velocidad y precisión a humanos en pruebas controladas.

#### 3. Detalles Técnicos

Los vectores de ataque actuales emplean una combinación de técnicas:

– **Reconocimiento óptico de caracteres (OCR) avanzado**: Herramientas como Tesseract, ahora potenciadas mediante LLM, descifran textos distorsionados con una tasa de acierto cercana al 98%.
– **Análisis de imágenes por IA**: Modelos como CLIP y DALL-E se entrenan específicamente para interpretar imágenes de CAPTCHAs, lo que les permite identificar patrones, objetos y letras con una precisión sin precedentes.
– **Integración en frameworks de explotación**: Plataformas como Metasploit han comenzado a incorporar módulos experimentales que utilizan APIs de LLM para resolver CAPTCHAs automáticamente durante pentests.
– **Tácticas, técnicas y procedimientos (TTP) MITRE ATT&CK**: El bypass de CAPTCHAs se enmarca en la táctica “Initial Access” (TA0001), técnica “Automated Task” (T1059), y en herramientas de automatización (TA0011).
– **Indicadores de compromiso (IoC)**: Logs de acceso anómalos con resoluciones de CAPTCHAs a velocidades no humanas, picos de autenticaciones en segundos y patrones de acceso desde infraestructuras cloud (por ejemplo, AWS o GCP) son síntomas de ataques basados en LLM.

#### 4. Impacto y Riesgos

El impacto es inmediato y transversal a todos los sectores. Plataformas de comercio electrónico, bancos, administraciones públicas y servicios SaaS se enfrentan a:

– **Aumento de ataques automatizados**: El 100% de los portales analizados por Kaspersky Labs vieron aumentos de hasta un 300% en intentos de acceso automatizado tras la adopción masiva de LLM.
– **Fraude, scraping y spam**: La barrera de entrada para bots desaparece, facilitando la extracción masiva de datos, spam en formularios y fraudes de registro.
– **Cumplimiento normativo**: El Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2 exigen controles robustos para la protección de datos y la autenticación de usuarios. El uso de CAPTCHAs rotos puede considerarse negligencia.
– **Costes económicos**: El coste medio por brecha vinculada al bypass de autenticación supera los 3 millones de euros en Europa, según datos de 2023 de ENISA.

#### 5. Medidas de Mitigación y Recomendaciones

La comunidad de ciberseguridad recomienda una transición urgente hacia mecanismos de autenticación alternativos:

– **Autenticación multifactor (MFA)**: Uso obligatorio de MFA basado en aplicaciones TOTP, biometría o llaves FIDO2.
– **Análisis de comportamiento y riesgo**: Integración de sistemas de análisis de patrones de uso y detección de anomalías en tiempo real.
– **CAPTCHAs adaptativos**: Empleo de desafíos dinámicos que combinan contexto, interacción y análisis de patrones gestuales, aunque su eficacia es temporal.
– **Zero Trust**: Arquitecturas que asumen compromisos constantes y verifican la identidad en cada acción sensible.
– **Monitorización continua**: Revisión y alerta sobre tasas anómalas de resolución de CAPTCHAs y acceso automatizado.

#### 6. Opinión de Expertos

Varios CISOs y analistas del sector coinciden en que “la era del CAPTCHA tradicional ha terminado”. Según Natalia Shishkova, investigadora de Kaspersky, “los LLM han superado en meses lo que la industria diseñó durante años. La autenticación debe evolucionar hacia mecanismos centrados en el usuario y el contexto, no en pruebas triviales para máquinas”.

Por su parte, el experto en pentesting David Barroso alerta: “La automatización de la resolución de CAPTCHAs ya está disponible en foros underground y servicios de ‘captcha solving’ que usan IA. Cualquier actor, desde script kiddies hasta grupos APT, puede aprovechar esta brecha”.

#### 7. Implicaciones para Empresas y Usuarios

Las empresas deben realizar una evaluación urgente de sus mecanismos de control de acceso, especialmente en sectores críticos (finanzas, sanidad, administración). La dependencia exclusiva de CAPTCHAs para proteger formularios, inicios de sesión o APIs ya no es aceptable desde una perspectiva de riesgo.

Para los usuarios, la experiencia mejora al eliminar CAPTCHAs molestos, pero aumenta el riesgo de suplantación de identidad y fraude si las plataformas no refuerzan la autenticación y la detección de anomalías.

#### 8. Conclusiones

La irrupción de los LLM ha acelerado el ocaso de los CAPTCHAs tradicionales, obligando a empresas y profesionales a replantear sus estrategias de defensa perimetral. Apostar por autenticación robusta, análisis de comportamiento y arquitecturas Zero Trust es, a fecha de 2024, el único camino viable para contener la nueva oleada de amenazas automatizadas.

(Fuente: www.kaspersky.com)