4 jul. 2019

El lado oculto de Google reCAPTCHA v3, super cookies

El pasado mes de noviembre os contamos cómo Google se había marcado un tanto con la presentación de reCAPTCHA v3, la nueva versión su popular herramienta que ayuda a los administradores web a verificar que esa IP que quiere identificarse en un sistema es una persona real y no un programa malicioso.

Por primera vez en la historia de los CAPTCHAs desaparece la necesidad de que el usuario tenga que introducir un texto ilegible en un campo de verificación, que tenga que marcar esa casilla de «no soy un robot» o peor aún, que tenga que indicar qué imágenes de un mosaico corresponden con la de un gato.

Según explicaban los ingenieros de Google, la nueva versión de reCAPTHA no exige nada al usuario. Se ejecutará en segundo plano, e irá identificando y clasificando automáticamente a los usuarios entre robots o humanos, utilizando un sistema de puntuación basado sobre las pautas de su actividad, elaborando distintos perfiles de riesgo.

Todo esto suena por supuesto estupendamente bien. La navegación se convierte en una experiencia mucho más fluida y transparente y las web que integran el nuevo reCAPTCHA «molestan» menos a sus usuarios. Así que todos ganan: ¿O no?

Pues no está tan claro. Como ya ha denunciado un grupo de expertos en ciberseguridad, lo nuevo de Google tiene una cara mucho menos amable: la intromisión en la privacidad de los usuarios. Para comprender por qué esto es así, lo primero hay explicar cómo funciona este nuevo sistema.

Según dos investigadores de seguridad que han estudiado reCaptcha v3, una de las formas en que Google determina si usted es un usuario malicioso o no es si ya tiene una cookie de Google instalada en su navegador. Es la misma cookie que le permite abrir nuevas pestañas en su navegador y no tener que volver a iniciar sesión en su cuenta de Google cada vez. Pero según Mohamed Akrout, un estudiante de doctorado en ciencias de la computación en la Universidad de Toronto que ha estudiado reCaptcha, parece que Google también está usando sus cookies para determinar si alguien es un humano en las pruebas reCaptcha v3. Akrout escribió en un artículo de abril [PDF] sobre cómo las simulaciones de reCaptcha v3 que se ejecutaban en un navegador con una cuenta de Google conectada recibían puntuaciones de riesgo más bajas que los navegadores sin una cuenta de Google conectada. "Si tienes una cuenta de Google es más probable que seas humano", dice.

Google como la mayoría de los sitios que visitamos en Internet por primera vez, suele preguntarnos si estamos dispuestos a aceptar sus cookies. Para ellos y para nosotros, es importante. La cookie de Google nos permite entre otras cosas que sus servicios «recuerden» que ya nos hemos autenticado con anterioridad en uno de sus servicios, de modo que no tengamos que introducir nuestro nombre y nuestra contraseña cada vez que los visitamos.

La cookie de Google hace más cosas, casi todas «inofensivas» hasta ahora. Y decimos hasta ahora, porque lo que denuncian estos investigadores es que para que reCAPTCHA funcione sin necesidad de «interactuar» con el usuario, lo que hace es tomar buena nota de todos sus hábitos de navegación.

De esta forma, si comprueba que navega tal y como lo haría un ser humano, le otorgará un scoring alto y por lo tanto lo considerará digno de confianza. En cambio, si sospecha que no navega tal y como lo haría una persona, el scoring será mucho menor y en este caso el servicio pondrá en marcha otras medidas de autenticación, como puede ser un doble factor.

Esto quiere decir que seamos o no usuarios de los productos de Google, las webs que implementen el nuevo sistema van a «forzar» a sus usuarios a aceptar su cookie tanto si lo quieren como si no. Y esto no son precisamente buenas noticias para los amigos de la privacidad.

Tal y como han comprobado estos investigadores, al utilizar un servicio VPN o la red TOR para acceder a los sitios que han incluido esta medida de seguridad, el sistema responde automáticamente indicando que el visitante es de alto riesgo y o bien impide completamente el acceso o bien pone en marcha otras medidas de autenticación.

En estos momentos, de las 4,5 millones de páginas web que están utilizando el sistema reCaptcha, aproximadamente 450.000 han implementado la última versión de este sistema.

Fuente: Muy Seguridad

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!