CAPTCHA, reCAPTCHA y unCAPTCHA, ¿quién da más?

  • Reportajes

CAPTCHA

Llega un nuevo algoritmo al mercado llamado unCAPTCHA que ha demostrado poder creackear la versión de audio del reCAPTCHA de Google.

Empecemos por el principio. ¿Qué es CAPTCHA? Es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart, o lo que es lo mismo, una prueba que permite distinguir a bots o máquinas de los seres humanos. La idea más extendida es que el término fue acuñado en 2000 por un grupo de investigadores de la Carnegie-Mellon Universiryt, liderados por Luis von Ahn, y por John Langford, de IBM; aunque según Wikipedia el término se acuñó en 2003 y la idea surgió en 1997.

También puedes leer...

Tratando con el Ransomware

Directrices para el Data Protection Office (DPO)

Cinco pasos para hacer del Data Masking una realidad

Lagunas de conocimiento en Ciberseguridad

Cómo cuantificar el valor de un CASB

En todo caso, la primera forma de CAPTCHA solicita al usuario que escriba las letras de una imagen distorsionada, a veces con la adición de una secuencia oscurecida de letras o dígitos que aparece en la pantalla. De esta firma puede demostrar que es un ser humano y así evitar que programas de software automatizados ejecuten acciones que puedan degradar la calidad del servicio de un sistema datos. Los CAPTCHA pueden utilizarse en servicios de webmail o para controlar el acceso a blogs o foros, para evitar promociones comerciales o un uso incorrecto del mismo.

Como método de autenticación recibió algunas críticas, algunas procedentes de personas con discapacidad y otras de quienes, teniendo en cuenta que resolver un CATPCHA lleva unos diez segundos, aseguraban que ralentizaba su trabajo diario.

En todo caso su uso se extendió hasta convertirse en una herramienta ubicua sobre la que se siguió trabajando hasta que hace unos años nació reCAPTCHA. La experiencia general es la misma: escribir las letras y los números que se ven en la pantalla, pero en lugar de palabras aleatorias, reCAPTCHA pide que se interpreten palabras tomadas de archivos de texto reales, de una imagen de dicho archivo; la tinta borrosa y el papel dañado de los documentos antiguos dificulta la lectura de algunas palabras por parte de las máquinas, sin que para los seres humanos sea una gran complicación.

Google compró reCaptcha en septiembre de 2009, y desde entonces ha estado haciendo evolucionar tecnología. Si inicialmente reCAPTCHA utilizaba periódicos y libros viejos escaneados, a partir de 2012, Google empezó a incluir imágenes obtenidas de Google Street View, de forma que la palabra desconocida sea un números o nombre de calle.

En marzo de este año Google anunció una actualización de reCAPTCHA para hacerlo invisible. La gran ventaja para los usuarios, que durante años hemos estado utilizando este sistema para demostrar que somos humanos, es que no mostrará más diálogos salvo que tenga alguna sospecha de que en realidad no lo eres, y eso dependerá en gran medida de cómo se navegue por Internet. La dirección IP, las coockies e incluso el recorrido del ratón son algunos de los parámetros que tiene en cuenta Google.

unCAPTCHA

Y lo que esta semana ha sido noticia es unCAPTCHA, un nuevo algoritmo desarrollado por investigadores de la Universidad de Maryland que aseguran que es capaz de romper 450 el reCAPTCHA de Google con una precisión cercana al 85% en 5,4 segundos, que es menos tiempo del que un humano necesita para escuchar un único reCAPTCHA de audio.

Por lo que hace unCAPTCHA es comprometer el sistema reCAPTCHA explotando un fallo en la versión de audio desarrollada por Google para personas con alguna discapacidad visual.

Los investigadores de la Universidad han publicado el código de unCAPTCHA en GitHub. El código utiliza sistemas TTS (text-to-speech) como Bing Speech Recognition, IBM, Google Cloud o Google Speech Recognition.

Aseguran los expertos que unCAPTCHA no es el primer sistema de este tipo. El pasado mes de marzo un investigador publicó ReBreakCaptcha, muy parecido al que acaba de lanzarse. La diferencia es que los investigadores de la Universidad de Maryland han comunicado a Google su trabajo antes de hacer pública la prueba de concepto en la conferencia Usenix WOOT 2017 que se ha celebrado en Vancouver.