El desafío de Insecure CAPTCHA muestra cómo una implementación incorrecta de CAPTCHA puede dejar una aplicación expuesta a ataques automatizados. En este caso, la aplicación utiliza un sistema de verificación que depende de variables de entorno que no tienen valor o se encuentran vacías, lo que provoca que el CAPTCHA nunca se valide correctamente. Como resultado, un bot puede enviar solicitudes repetidas sin necesidad de resolver el reto visual, permitiendo automatizar acciones como intentos de fuerza bruta, creación masiva de cuentas o abusos del formulario.
Al inspeccionar el código del módulo se observa que el sistema espera dos claves —pública y privada— que no han sido configuradas. Esto provoca que la función de validación siempre falle o, en algunos casos, ni siquiera llegue a ejecutarse. Esta falta de configuración y verificación adecuada convierte al CAPTCHA en un mecanismo ineficaz, dejando la aplicación vulnerable a ataques automatizados que deberían haber sido bloqueados desde el principio.