Publicidad
TICBEAT
Así se esquiva un CAPTCHA
Los test de Turing públicos completamente automatizados para distinguir entre humanos y ordenadores (CAPTCHA, por sus siglas en inglés) son esas ventanas en las que hay que teclear unas palabras apenas visibles.
Su objetivo, como indicia su nombre, es hacer que la página en cuestión no se enfrente a peticiones automatizadas que podrían, por ejemplo, colapsar el sistema o permitir el spam. Sin embargo, hay formas de esquivarlos.
Uno de estos métodos es realmente sencillo: utilizar personas para que introduzcan los códigos. En algunos casos se emplea a estos trabajadores y se les paga un salario. Estos trabajadores suelen ser de países en desarrollo y reciben una cantidad concreta por cada 1.000 CAPTCHA resueltos.
Esta cantidad está entre uno y tres dólares y se premia a los trabajadores (o se les penaliza) en función de su velocidad y precisión. “Lo único que tiene que hacer el spammer es comprar un paquete”, explica la empresa de seguridad Imperva en un estudio.
El precio también varía según quién ofrezca el servicio. Bypass CAPTCHA, por ejemplo, ofrece un paquete de 1.000 códigos resueltos por 14 dólares, mientras que la opción de Death by CAPTCHA, 1,39 dólares por la misma cantidad, es mucho más barata.
Pero la recompensa para quienes resuelven los CAPTCHA no siempre es económica. Algunos sitios lo que ofrecen son imágenes pornográficas como aliciente. Así, algunas páginas especializadas en este contenido muestran un código a sus usuarios, que no podrán navegar por la web si no lo resuelven. De este modo los usuarios contribuyen sin ser conscientes de ello.
“Los servicios de resolución de CAPTCHA basados en humanos suponen una seria amenaza para la seguridad de la Web y desafían todo el concepto de los CAPTCHA”, asegura Imperva. “Fueron pensados para distinguir a los humanos de los ordenadores, pero ahora programas automatizados utilizan a humanos para engañar al test y hacerse pasar por personas. Esto desafía hasta a los esfuerzos más innovadores para crear mejores CAPTCHA”.
Software
A esto hay que unir las herramientas ‘tradicionales’, es decir, los algoritmos de desencriptado que son capaces de reconocer texto distorsionado como lo haría un humano. Estos algoritmos siguen en funcionamiento y están en constante evolución, pero ya se utilizaban en 2003, cuando se encontró una forma de saltarse el EZ-Gimpy CAPTCHA usado por Yahoo.
Como es lógico, hoy en día son todavía más precisos y herramientas como CAPTCHA Sniper son capaces de resolver los CAPTCHA de 50 servicios diferentes con un moderado porcentaje de acierto (entre el 27% y el 100%, en función del servicio).
Otros, como PWNtcha, tienen menos ‘objetivos’ (únicamente resuelve los CAPTCHA de 12 servicios), pero son letales: su precisión es superior al 90% en 9 de ellos.
Frustrar a los usuarios
El principal problema a la hora de luchar contra estas herramientas es que hacer que sea más difícil resolver los CAPTCHA también repercute en los usuarios, que pueden llegar a frustrarse ante una clave muy complicada o poco visible.
Para evitar que ocurra esto se han tomado diferentes aproximaciones. Por un lado, está la opción de emplear estos códigos sólo en el caso de que el sistema considere que la actividad del usuario es sospechosa o ajustar la dificultad de los mismos a los atributos observados en su navegación.
Esto es lo que hace nuCAPTCHA, que utiliza CAPTCHA sencillos para los usuarioslegítimos, pero incrementa su dificultad si el acceso es automatizado. Por su parte, Mollom escanea el contenido generado por los usuarios en busca de elementos propios del spam, como enlaces, y no solicita la introducción de palabras clave si no los encuentra. Así consiguen que la gran mayoría de los botsse enfrenten a sus sistemas de defensa, que sólo afecta al 4% de los humanos.
Otra aproximación es hacer de la seguridad algo divertido para el usuario, como un juego o algún tipo de acertijo. Esto, además de evitar frustrar al usuario, tiene la ventaja de ser mucho más complicado de resolver para los sistemas automatizados y más lento para los empleados de las ‘granjas’ de resolución.
Un ejemplo de esto son los CAPTCHA de CAPTCHA10, en los que se muestran varias imágenes y una palabra. El usuario tiene que relacionar ambas, algo que hará sin esfuerzo. Sin embargo, al variar en tamaño, forma e iluminación, es muy difícil establecer algoritmos de relación. Además, cuanto más amplio sea el concepto a identificar, más difícil será establecer esta relación de forma automática.
Por el momento estas herramientas son poco utilizadas y todavía predominan los CAPTCHA de texto. Sin embargo, en Imperva esperan que estas alternativas estén cada vez más presentes.
Publicidad