Las pruebas CAPTCHA (Completely Automated Public Turing Test to tell Computers and Humans Apart) pretenden discernir mediante el planteamiento de retos “desafío-respuesta” si los intentos de autenticación en sitios Web están siendo llevados a cabo por personas para así frustrar los intentos de difusión de spam automatizados a gran escala. Para conseguirlo plantean cuestiones que exigen la interpretación humana, como es la identificación de signos deformados. De esta manera los sitios con sistemas CAPTCHA detectan si están siendo utilizados por botnets con el propósito de difundir desde ellos grandes volúmenes de spam. Se trata de una herramienta eficaz, pero, según Trend Micro, los spammers han encontrado la manera de conseguir sus propósitos pese a ellos. Aunque no pueden automatizar los ataques utilizando máquinas para ello, consiguen la colaboración de los seres humanos, quienes les prestan su ayuda. Esta colaboración, en otros casos involuntaria, ha empezado a ser vendida a bajo precio. Servidores en India En concreto, según el proveedor de seguridad, países como India nutren de mano de obra a estas redes de ciberdelincuentes que pagan unos 2,50 euros al día a cambio de apoyo en sus intentos de sortear los controles de seguridad antispam. Trend Micro asegura que uno de los principales proveedores de correo electrónico gratuito –cuyo nombre no ha dado a conocer- ya ha sido víctima de este nuevo método, que funciona siguiendo diferentes pasos. En primer lugar, el programa robot visita la página de inscripción del sitio objetivo y rellena el formulario con datos aleatorios. Cuando, a continuación, aparece la verificación CAPTCHA, el programa envía el mensaje a un terminal informático ubicado en la India. Después, los “trabajadores” contratados por los delincuentes introducen la combinación correcta de letras y números y devuelven la información al programa robot, que, a su vez, introduce la respuesta adecuada y completa el proceso de registro. En ese momento, los creadores de spam ya tienen acceso gratuito a las cuentas de los usuarios del sitio y, desde ellas, comienzan a distribuir el spam a miles de cuentas de correo legítimas.