CAPTCHAS. ¿seguridad anti-spam del pasado?

Un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es una prueba o reto que trata de determinar cuando un usuario es o no humano. Un ejemplo son las típicas imágenes de texto distorsionadas que se muestran en infinidad de páginas web a la hora registrar una nueva cuenta o incluso a la hora de ingresar en una cuenta ya existente.

Este tipo de mecanismos de identificación de usuarios humanos surgieron, fundamentalmente, como protección anti-spam de los servidores de correo gratuitos contra bots que podían crear de forma automática infinidad de cuentas de email en sus servidores y que posteriormente podían ser utilizadas para realizar envíos masivos de spam. No obstante, las cuentas de correo gratuito se han venido utilizando desde siempre para enviar spam. Ante medidas de protección como los captchas, una de las soluciones adoptadas por los grupos de spamers es pagar a usuarios humanos por la resolución de estos captchas. Como muestra un botón: la siguiente imagen corresponde a una captura de una web en la que se ofrece un servicio automático de resolución de captchas pero también trabajo a usuarios reales que obtienen dinero por resolver captchas.

Presumiblemente, alguien contrata estos servicios para, por ejemplo, crear automáticamente cuentas de correo en servidores gratuitos. Al intentar crear una cuenta de correo, el captcha es enviado a este servicio de resolución automática en el que un usuario humano (que cobra por resolverlo) devuelve la respuesta de dicho captcha y así permite que el proceso pueda hacerse con éxito. Otra alternativa curiosa es lo que podríamos denominar como pago en especies. Se ha observado el uso de sitios porno donde, para poder ver las imágenes, es necesario resolver un captcha. El sistema funciona igual que el que hemos descrito antes, sólo que el usuario humano que resuelve el captcha no está cobrando nada, o al menos no está cobrando dinero. Por otra parte, no es nada nuevo que el sistema de protección mediante captchas tiene debilidades que pueden ser explotadas para resolverlos mediante algoritmos inteligentes. Aunque estos sistemas de protección han ido ganando en complejidad hasta el punto de que a veces se hace difícil para un usuario humano descifrar su contenido, también es cierto que de la misma forma los métodos de reconocimiento de imágenes también han ido mejorando. Sin duda estas técnicas se aplican a la resolución automática de captchas. Recientemente investigadores de la universidad de Newcastle (Reino Unido) han publicado sendos estudios en los que presentan como han logrado romper los captchas de Microsoft y de Yahoo con un alto porcentaje de acierto. De los estudios recientes sobre la evolución del spam, como por ejemplo las estadísticas publicadas por la compañía MessageLabs, se desprende que ha habido un significativo incremento del mes de Enero al mes de Febrero de 2008 en el spam enviado a través de cuentas de servidores de correo gratuito como Hotmail, Gmail y MSN.

Este hecho parece apuntar al uso de sistemas automáticos que permiten romper los captchas de los diferentes servidores. No obstante, estos sistemas automáticos aun tienen un porcentaje de acierto bastante bajo (entre el 20-30%), pero sin duda, a medida que se cuenta con más captchas resueltos de los que los sistemas automáticos puedan aprender, los porcentajes de acierto irán mejorando y el aumento de spam enviado desde servidores gratuitos también puede aumentar. De hecho, los sistemas que comentabamos anteriormente que resuelven los captchas mediante usuarios humanos pueden ser utilizados para entrenar los sistemas automáticos y mejorar así su capacidad de romper nuevos captchas. Ante esta problemática de le resolución automática de captchas, se presentan nuevas alternativas que compliquen el problema. Una de estas alternativas es ASIRRA de Microsoft, que muestra una serie de fotografias en las que aparecen perros y gatos y el usuario debe seleccionar todas aquellas en las que aparecen uno de estos dos animales. De forma anecdótica, una posibilidad para resolver este tipo de problemas puede salir de la misma Microsoft ya que ellos mismos investigan en potentes algoritmos que permiten identificar la presencia de determinados objetos en las imágenes.

Fuente: http://blog.s21sec.com/2008/06/captchas-seguridad-anti-spam-del-pasado.html

Suscríbete a nuestro Boletín