Captchas. Esas cosas horribles que se inventaron para comprobar que es un humano quien está detrás del ordenador y no un robot o un programa automático, aunque la mayoría de las veces sólo sirven para molestarnos un rato. He llegado a encontrar captchas tan difíciles que me han hecho plantearme si de verdad soy un humano.
Pero hoy no venimos a quejarnos de los captchas, sino a hablar de su fiabilidad. En concreto hablamos de los reCaptchas de Google, que han sido reventados por un grupo de tres hackers. Lo han hecho aprovechando un fallo en el sistema que genera el audio para que personas que no puedan leer las palabras sean capaces de resolver el captcha.
Para evitar que cualquier software de reconocimiento de audio identificase las palabras en la grabación, Google añade un ruido de fondo; ruido que vendría a ser el equivalente a las letras distorsionadas a las que nos tienen acostumbrados los captchas.
El problema es que ese ruido no incluía sonidos a altas frecuencias, mientras que las palabras que dictaba sí que lo hacían. A partir de esto, los hackers construyeron un sistema, al que llamaron Stiltwalker, que aislaba las palabras y las reconocía fácilmente. Y consiguieron una precisión del 99%.
Sin embargo, Google no sufrió nada por esta vulnerabilidad: la corrigieron dos horas antes de que se hiciese pública. Lo malo es que la corrección dificulta todavía más que un humano reconozca esas palabras.
Imperva también avisa sobre fallos en los captchas
Este grupo de hackers no es el único en destacar los fallos de este sistema. La empresa de seguridad Imperva avisa sobre herramientas automáticas para resolver captchas. Una de ellas, Captcha Sniper, es capaz de resolver los acertijos de la plataforma Wordpress con un 76% de acierto. Y es sólo una de las muchas plataformas a las que está dirigida.
El otro problema de los captchas ahora mismo son los sistemas de resolución basados en humanos. El funcionamiento es sencillo: estos sistemas cuentan con centenares de personas a las que pagan por resolver los captchas. Cuando un programa encuentra un captcha, lo envía a una cola y en unos pocos segundos una persona lo habrá resuelto y el programa tendrá el resultado listo. Es muchísimo más barato y simple que crear un programa para leer las palabras distorsionadas, y mucho más efectivo.
Y no creáis que es difícil acceder a este tipo de servicios. Una simple búsqueda en Google te lleva a varias páginas en las que puedes comprar el acceso a una API de resolución, por algo más de un dólar cada 1000 captchas resueltos. Y como ellos no cometen ningún delito (sólo resuelven acertijos) no hay ningún tipo de problema legal.
Está claro que los captchas no son seguros, ni mucho menos. No se puede confiar únicamente en ellos para determinar si un usuario es humano o no: hay que complementarlos con análisis de las cabeceras, de la IP de origen y de otros parámetros que indicarían que quien navega es un programa. Incluso se podrían usar otro tipo de tests, como minijuegos, para determinar si eres humano.
A pesar de todo esto, no creo que veamos cambios significativos en estos mosquitos versión Internet hasta dentro de unos años. Personalmente, me conformaría con que no los hagan más difíciles de lo que ya son.
Vía | The Next Web | Ars Technica
Más información | Informe de Imperva | Proyecto Stiltwalker
En Genbeta | CAPTCHA: ¿Para qué sirven realmente?