CAPTCHA: seguridad en Internet

Los CAPTCHA son una de las pruebas de Turing más utilizadas en seguridad web para evitar el spam, como son la publicidad encubierta y los enlaces externos masivos.

10 octubre 2014

Arturo Moncada

Todo menos politica

Los CAPTCHA son una de las pruebas de Turing más utilizadas en seguridad web para evitar el spam, como son la publicidad encubierta y los enlaces externos masivos.

CAPTCHA es el acrónimo en inglés de Completely Automated Public Turing test to tell Computers and Humans Apart, que en español se puede traducir como Prueba de Turing Pública y Automática para Diferenciar Máquinas y Humanos.

El ejemplo del CAPTCHA más común es el que solicita al internauta mirar un código gráfico generado al azar en cada ocasión y luego teclear cada letra o número que observa en otro recuadro. El propósito de este rompecabezas es combatir los llamados bots o robots malignos, programas que se hacen pasar por personas y que pueden insertar mensajes no deseados a través de formularios web o perpetrar otros actos perjudiciales.

Función

Bajo la consigna deque estos programas o robots que se hacen pasar por humanos han tenido tradicionalmente poca habilidad para reconocer caracteres con caligrafías extremas, ha sido muy habitual presentar imágenes con texto escrito de ese modo ya que resultaba previsible que nadie que no fuese humano pudiera reconocer los caracteres.

Los creadores de CAPTCHA han ideado otras formas para estos acertijos que implican la lógica humana, como por ejemplo resolver operaciones y otros más nuevos que proponen un juego de reconocimiento de imagen.

Sin embargo los sistemas de procesamiento visual de que disponen estos bots malignos son cada vez más sofisticados, e incluso una empresa que trabaja en inteligencia artificial y ha estado desarrollando algoritmos de computación que imitan al cerebro ha logrado derrotar a los CAPTCHA en 90% de los ejemplos que les han propuesto.

Ante ello, ya se trabaja en planteamientos del todo distintos para las nuevas generaciones de estos tests de Turing visuales en línea.

Renovación

Un equipo de la Universidad de Alabama en Birmingham, Estados Unidos, liderado por Nitesh Saxena y Manar Mohamed, investiga la seguridad y facilidad de uso de una nueva generación de CAPTCHA con base en videojuegos extremadamente sencillos que durarán escasos segundos y en los que cualquier persona podrá jugar y obtener la victoria.

En cambio ese mismo videojuego se convierte en un enigma imposible de resolver hasta para los bots más avanzados.

En estos videojuegos para CAPTCHA el usuario debe realizar una acción interactuando con una serie de imágenes dinámicas. Un ejemplo de estos nuevos códigos en formato de videojuego es que el usuario o internauta identifique una embarcación de entre varios objetos en movimiento para luego seleccionarla, arrastrarla y soltarla en el embarcadero libre de un puerto.

Defensa

Estos nuevos CAPTCHA ofrecen además una gran protección contra la ayuda a distancia que personas contratadas dan a los bots para intentar cruzar la barrera protectora de los CAPTCHA más complejos. La investigación realizada por la Universidad de Alabama corrobora que los nuevos CAPTCHA en formato de videojuego son capaces de sabotear tales ataques o por lo menos entorpecerlos.

Ante un CAPTCHA tradicional el cómplice humano no necesita teclear la respuesta al instante. Sin embargo ante uno en formato de videojuego sus acciones sobre el teclado o ratón deben estar perfectamente coordinadas, con lo que se mostraría en la pantalla que el usuario es una persona y no un robot con un cómplice humano, ya que al proporcionar la posición de los objetos en movimiento en un videojuego determinado estos ya se habrán desplazado a otros puntos convirtiendo en inexacta la información proporcionada: el bot que intentara entrar a la información de un usuario no podría superar el reto por exceder el tiempo concedido por el videojuego o por generar demasiadas operaciones incorrectas de arrastrar y soltar que serían reconocidas por el programa del servidor atacado como muy distintas del comportamiento de un humano normal.

Los estudios de sencillez de uso de estos CAPTCHA en formato de videojuego indican además que son más fáciles de utilizar para el usuario y también más divertidos en comparación con los tradicionales con base en textos.

Hasta ahora siguen multiplicándose las duras críticas que reciben los CAPTCHA por parte de numerosos usuarios que los califican de irritantes y difíciles porque observan letras de distinto tamaño o porque tienen que diferenciar una v minúscula de una V mayúscula; porque utilizan una tipografía en la que el uno (1) es igual a la ele (l) o la ele (l) es igual a la i mayúscula (I); o porque usan el cero y la letra O.

Así que los nuevos CAPTCHA serán más agradables y continuarán otorgando un gran grado de seguridad al usuario en las diversas páginas web donde son requeridos estos formularios.

Tipos de CAPTCHA

Solución de rompecabezas Quizás uno de los tipos menos comunes y más difíciles de realizar, sobre todo si se limita el tiempo.

Relación entre sonidos y caracteres También llamados CAPTCHA auditivo, establece la opción de introducir un código numérico acompañado de instrucciones auditivas.

Tablas de coordenadas por palabras El usuario debe señalar sobre una tabla el punto donde se cruzan las palabras solicitadas por el sistema de seguridad de la página web donde se encuentra.

Relación de imágenes y caracteres Este es probablemente el tipo de CAPTCHA más común. Se trata de reconocer los caracteres alfanuméricos que aparecen en la imagen y reproducirlos en un recuadro de texto.

Solución de problemas matemáticos Otro de los tipos más comunes. Habitualmente suelen ser operaciones sencillas, por ejemplo sumas de un solo dígito.

Relación entre imágenes De una lista el usuario debe elegir la afinidad de una imagen con otra, por ejemplo un pájaro y un nido.

Preguntas de tipo cultural En esta el usuario requiere de ciertos conocimientos y es catalogada como complicada.