jueves, 10 de agosto de 2023

Los test de seguridad 'Captcha' ya no valen: los robots los pasan igual que los humanos



El científico guatemalteco Luis von Ahn, presidente de Duolingo e inventor del 'captcha'. (EFE)



En un estudio, los humanos lograron una precisión de solo el 50% al 84%, mientras que los robots completaron la prueba en menos de un segundo con una precisión del 99,8%




Los test captcha han sido un método de protección fiable contra programas automáticos durante casi dos décadas. Con puzzles cada vez más complejos, los humanos nos hemos quedado por detrás de los robots resolviéndolos. Un nuevo estudio cuestiona que debamos seguir usando este tipo de medidas de seguridad porque los bots ya son mejores y más rápidos que nosotros y además, nos añaden más molestias que beneficios.

El estudio, realizado por la Universidad de California (EEUU), analizó los 200 sitios web más populares del mundo. Los investigadores descubrieron que 120 de ellos utilizaban pruebas captcha, abreviatura que significa ‘Test Público Completamente Automatizado para Diferenciar a Seres Humanos de Computadoras’. A continuación, reclutaron a 1.000 personas de distintas edades, sexo, ubicación y nivel educativo para que hicieran 10 pruebas captcha en cada uno de esos sitios. Sus conclusiones mostraron que los distintos robots programados por los investigadores tienden a superar a los humanos en precisión y velocidad.

Los investigadores se plantean si realmente merece la pena invertir tiempo en solucionar este tipo de pruebas. Cuando los humanos resolvían los captcha de texto distorsionado tardaban entre 9 y 15 segundos y lograban una precisión de sólo el 50% al 84%. Los robots que realizaron la misma prueba la completaron en menos de un segundo con una precisión del 99,8%.

placeholder'Captcha' estilo imagen panorámica. (Wikipedia)
'Captcha' estilo imagen panorámica. (Wikipedia)

"Ya no es fácil distinguir entre un humano y un robot con estos pequeños desafíos", afirma el coautor del estudio Andrew Searles en declaraciones para el medio New Scientist. Según otro experto, Shujun Li, de la Universidad de Kent (Reino Unido), “captcha no cumple objetivos de seguridad y actualmente es más un inconveniente para los atacantes menos decididos". Se necesitan "nuevos enfoques, como enfoques más dinámicos que utilicen el análisis del comportamiento", sugiere.


Útiles entonces, molestos ahora

A principios de los años 2000, se empezaron a usar los primeros captcha en sitios web para evitar que los bots pudieran acceder a registros y formularios en línea. Los captcha de entonces eran pequeños desafíos visuales para las personas, pero difíciles para los programas informáticos de la época.

Su método se inspiró en el Test de Turing pero a la inversa. En lugar de distinguir entre personas y máquinas utilizando a un humano como juez, lo hace una máquina.

Ahora, los captcha se han convertido en una tecnología anticuada que en lugar de hacer la vida más fácil, la hace más difícil y han persistido hasta el momento, en parte, porque no ha habido mejores opciones para detener fraudes o software automatizados.


placeholderPrueba 'captcha' de vehículos.
Prueba 'captcha' de vehículos.

Pero la inteligencia artificial ya es capaz de resolver muchos tipos de Captchas. Recientemente, ChatGPT ha descifrado algunos enigmas e incluso ha engañado a gente para que los resuelva. Además, este tipo de herramientas también comprometen la privacidad del usuario, ya que puede guardar un registro permanente de la identidad del teléfono u ordenador y rastrear todos los sitios a los que se conecta.


El fin de los 'captcha'

Actualmente, hay alternativas a los captcha basadas en análisis de comportamiento. Por ejemplo, los sistemas de venta de entradas como Ticketmaster pueden observar cómo los usuarios interactúan con sus dispositivos, analizar el movimiento del ratón o los gestos en la pantalla del teléfono y así detectar patrones de comportamiento "muy humanos" y diferenciarlos de los movimientos automatizados de los bots.


placeholderDiferentes tipos de 'captcha'. (ijcsmc)
Diferentes tipos de 'captcha'. (ijcsmc)

Otras empresas, como Apple, pueden verificar si un usuario es real porque ha iniciado sesión con una cuenta legítima. Estos diferentes enfoques utilizan un protocolo tecnológico llamado Privacy Pass, respaldado por empresas como Apple, Google, Cloudflare o Fastly. Este estándar permite que toda persona demuestre que es de confianza para un servidor sin que ese servidor pueda rastrear al usuario.

Paradójicamente, al mismo tiempo que los humanos resolvemos captcha como aquellos de identificar imágenes de vehículos o semáforos, estamos entrenando a los sistemas de inteligencia artificial. Cuando resolvemos un enigma, esa información se aprovecha para entrenar a otros sistemas, como los de conducción autónoma, para que en un futuro sean capaces de detectarlo por sí solos.



    Por