El CAPTCHA ha caído — ahora la IA genera spam y te vende SEO

En septiembre de 2024, expertos de SentinelOne descubrieron AkiraBot, un servicio de envío automatizado de spam que utiliza inteligencia artificial para generar mensajes publicitarios personalizados. Esta herramienta, desarrollada en Python con interfaz gráfica, apunta a sitios de pequeñas y medianas empresas, infiltrándose a través de formularios de contacto y chats en línea. Su objetivo es promocionar servicios SEO de dudosa reputación, como Akira y ServicewrapGO.

AkiraBot genera los mensajes usando GPT-4o-mini. Los textos se adaptan al contenido específico de cada sitio web, lo que permite esquivar fácilmente los filtros antispam. La información del sitio se inserta en una plantilla y la IA la transforma en una propuesta personalizada. Esto hace que los envíos sean convincentes y difíciles de detectar automáticamente.

La herramienta también logra superar los sistemas CAPTCHA. Entre los servicios atacados están hCAPTCHA, Google reCAPTCHA y Cloudflare Turnstile. Para eludir los sistemas antibot, AkiraBot utiliza servidores proxy, lo que le permite ocultar el origen del tráfico y simular la interacción de un usuario legítimo.

Desde su lanzamiento, supuestamente bajo el nombre Shopbot, la herramienta atacó sitios basados en Shopify, y luego amplió su alcance a otras plataformas populares como GoDaddy, Wix, Squarespace y Reamaze. En total, se han registrado ataques a más de 420 000 dominios únicos, con al menos 80 000 sitios confirmados como receptores exitosos del spam.

Todas las acciones del bot se registran en un archivo llamado “submissions.csv”, donde se documentan intentos exitosos y fallidos, así como la eficacia de los proxies y del bypass de CAPTCHA. La información sobre los ataques se transmite automáticamente a un canal de Telegram de los operadores mediante API, lo que indica un alto nivel de automatización e implicación de los desarrolladores.

OpenAI reaccionó rápidamente al incidente, bloqueando la clave API utilizada por el bot y los recursos asociados. Sin embargo, el hecho de que la herramienta no solo genere spam sino también eluda mecanismos de seguridad plantea serias preocupaciones. Por la escala y sofisticación del proyecto, los creadores de AkiraBot no parecen estar haciendo pruebas, sino que buscan activamente vulnerar la protección de los servicios en línea.

La aparición de AkiraBot coincide con la promoción de otra herramienta maliciosa: Xanthorox AI. Este sistema está diseñado para ciberdelincuentes y puede generar código malicioso, realizar análisis de datos, explotar vulnerabilidades e incluso interactuar por voz. A diferencia de AkiraBot, Xanthorox AI opera en servidores locales, evitando por completo las plataformas en la nube, lo que dificulta su detección y bloqueo.

La situación actual muestra la rapidez con la que el mundo criminal adapta las tecnologías modernas a sus fines. La automatización del envío masivo y el uso de IA para generar contenido están cambiando las reglas del juego en el ámbito del spam, haciéndolo más preciso y eficaz. Esto plantea nuevos desafíos para los sistemas de defensa y exige que los desarrolladores de soluciones de seguridad mejoren constantemente sus mecanismos.