El inútil captcha de Chilectra

Chilectra es una empresa privada chilena distribuidora de energía eléctrica. En su sitio web los usuarios pueden ingresar a un portal privado para acceder a información de sus consumos, cuentas y otros beneficios. En el proceso de Recuperación de Contraseña, para prevenir el uso de robots que permitan obtener algún tipo de información mediante fuerza-bruta, […]

Chilectra es una empresa privada chilena distribuidora de energía eléctrica. En su sitio web los usuarios pueden ingresar a un portal privado para acceder a información de sus consumos, cuentas y otros beneficios. En el proceso de Recuperación de Contraseña, para prevenir el uso de robots que permitan obtener algún tipo de información mediante fuerza-bruta, han implementado un captcha.

Todos conocemos que la función principal del captcha es poder distinguir entre humanos y bots.

El captcha que implementó chilectra en sus procesos de registros o de recuperación de contraseña corresponde a una implementación básica y fácil de vulnerar. La idea de todo captcha es que los bots no puedan solucionar el desafío y de esta forma prevenir procesos automatizados.

Captcha en chilectra.cl

Como se puede ver en la imagen, el desafío es escribir la palabra que aparece deformada “grip” y cada vez que actualizamos esa palabra cambia

Captcha chilectra.cl #2

Captcha chilectra.cl #3

El problema de esta implementación de captcha es que la imagen y texto no se genera automáticamente, sino que es leída desde un archivo jpg estático, pudiendo predecir la palabra que el sistema está esperando que escribamos, vulnerando su sistema de seguridad. Las imagenes estan alojadas en el directorio /webapp/wcs/stores/servlet/cimg/ y el nombre de la imagen va desde el 1.jpg hasta el 191.jpg, de esta forma podemos determinar que la imagen 199.jpg dice “food”, la 150 dice “fear”, etc.

Este no es el unico sitio donde se implementa este tipo de captcha, existen otros casos conocidos como el de FeriaMix publicado en mayo del 2011 y que aun no se ha mejorado.