Captchas. Esas cosas horribles que se inventaron para comprobar que es un humano quien está detrás del ordenador y no un robot o un programa automático, aunque la mayoría de las veces sólo sirven para molestarnos un rato. He llegado a encontrar captchas tan difíciles que me han hecho plantearme si de verdad soy un humano.
Pero hoy no venimos a quejarnos de los captchas, sino a hablar de su fiabilidad. En concreto hablamos de los reCaptchas de Google, que han sido reventados por un grupo de tres hackers. Lo han hecho aprovechando un fallo en el sistema que genera el audio para que personas que no puedan leer las palabras sean capaces de resolver el captcha.
Para evitar que cualquier software de reconocimiento de audio identificase las palabras en la grabación, Google añade un ruido de fondo; ruido que vendría a ser el equivalente a las letras distorsionadas a las que nos tienen acostumbrados los captchas.
El ruido no tenía sonido a altas frecuencias, lo que facilitaba distinguir las palabras.
El problema es que ese ruido no incluía sonidos a altas frecuencias, mientras que las palabras que dictaba sí que lo hacían. A partir de esto, los hackers construyeron un sistema, al que llamaron Stiltwalker, que aislaba las palabras y las reconocía fácilmente. Y consiguieron una precisión del 99%.
Sin embargo, Google no sufrió nada por esta vulnerabilidad: la corrigieron dos horas antes de que se hiciese pública. Lo malo es que la corrección dificulta todavía más que un humano reconozca esas palabras.
Imperva también avisa sobre fallos en los captchas
Este grupo de hackers no es el único en destacar los fallos de este sistema. La empresa de seguridad Imperva avisa sobre herramientas automáticas para resolver captchas. Una de ellas, Captcha Sniper, es capaz de resolver los acertijos de la plataforma Wordpress con un 76% de acierto. Y es sólo una de las muchas plataformas a las que está dirigida.
Así de fácil es contratar un servicio para resolver Captchas.
El otro problema de los captchas ahora mismo son los sistemas de resolución basados en humanos. El funcionamiento es sencillo: estos sistemas cuentan con centenares de personas a las que pagan por resolver los captchas. Cuando un programa encuentra un captcha, lo envía a una cola y en unos pocos segundos una persona lo habrá resuelto y el programa tendrá el resultado listo. Es muchísimo más barato y simple que crear un programa para leer las palabras distorsionadas, y mucho más efectivo.
Y no creáis que es difícil acceder a este tipo de servicios. Una simple búsqueda en Google te lleva a varias páginas en las que puedes comprar el acceso a una API de resolución, por algo más de un dólar cada 1000 captchas resueltos. Y como ellos no cometen ningún delito (sólo resuelven acertijos) no hay ningún tipo de problema legal.
Está claro que los captchas no son seguros, ni mucho menos. No se puede confiar únicamente en ellos para determinar si un usuario es humano o no: hay que complementarlos con análisis de las cabeceras, de la IP de origen y de otros parámetros que indicarían que quien navega es un programa. Incluso se podrían usar otro tipo de tests, como minijuegos, para determinar si eres humano.
A pesar de todo esto, no creo que veamos cambios significativos en estos mosquitos versión Internet hasta dentro de unos años. Personalmente, me conformaría con que no los hagan más difíciles de lo que ya son.
Vía | The Next Web | Ars Technica
Más información | Informe de Imperva | Proyecto Stiltwalker
En Genbeta | CAPTCHA: ¿Para qué sirven realmente?
Ver 16 comentarios
16 comentarios
andresjb
Ahora si escribes bien un captcha es porque no sos humano... son cada vez más inentendibles.
Oyagum
Yo creo que lo suyo sería hacer eso, juegos o preguntas muy muy básicas para que los captchas sean buenos tanto como para evitar que un robot lo descubra como para hacérselo fácil al humano.
Aquí vienen explicados unos ejemplos que realmente me parecen más que correctos: http://www.alzado.org/articulo.php?id_art=561
felipe2604
En esta web lleva implementado ya un tiempo el tema de colocar las imagenes como un puzle, esta al pinchar en "Haga una pregunta del producto". Es bastante curioso. http://www.hachedeo.es/component/virtuemart/bolsos/10738/10738-detail.html
isola009
Muy bueno el artículo.
Usuario desactivado
no creo que unir 3 fragmentos de imagen sea muy complicado, es comparar los pixels del borde y ver cuál de todos es más similar.
yo apostaría por otro tipo de captcha, mostrar al usuario una imagen, y pedirle al usuario que ponga una o dos palabras de lo que aparece en ella.
Por ejemplo, pones una imagen de una hormiga y aceptas como respuesta válida "hormiga", "hormiguero", "bicho"...
Es más laborioso, por el tema del idioma, pero es tremendamente más efectivo que cualquier captcha de letras o números.
Está también el inconveniente de la accesibilidad, así que hay que buscar más alternativas.
112093
En realidad los captchas dejarán de usarse a corto plazo al menos por los desarrolladores web preocupados por las beunas experiencia de los usuarios de sus sitios web y también por usar sistemas eficientes para detener los bots de spamers y sploggers, ya que con o sin las vulnerabilidades estructurales de las que habla el articulo ya no son eficientes, los bots aprenden a saltárselas hay servidores que son bases de datos para tales fines además cómplices humanos (mercenarios que por moneditas colaboran con estos bots para hacer de internet un lugar por) He reemplazado en mis sitios web los captchas por sistemas menos complicados para los humanos y más complicados para los bots y estoy obteniendo excelentes resultados.
enigmaxg2
Hay que derrotar a esos captchas de Google!! Son el instrumento mediante el cual nosotros les digitamos los libros, mientras los empleados se tocan los huevos...
potter1124
una forma relativamente sencilla de capcha seria, bueno imagenes ¿a todos nos gustan no? pero si son muy sencillos en manera de rompecabezas.... bueno mi idea es asi.
que te dejaran una imagen girada de 1 a 360 grados) (s es que aplica asi) y con flechas a los lados la tienes que acomodar de la forma correcta, cosas sencillas como una rana, una cara, un reloj etc...
¿los bots pueden identificar eso? tendrian que probar una a una las posibilidades diferentes y el sistema puede poner un numero limitado de intentos ¿3? seria muy tonto que un humano no pudiera hacerlo.
maesus
"reventaron"...hay que ver...
reyescedeno
Hay un nuevo tipo de captchas o por lo menos nunca las habia visto hasta ayer, te dan una imagen dividida en tres secciones y tienes que hacerlas coincidir. Aqui hay un ejemplo http://goo.gl/Lw5h1