miércoles, 26 de junio de 2024

El control de seguridad más popular de internet se ha vuelto absurdo (y tiene mucha lógica)



Imagen: iStock/EC.



Demostrar que eres un humano en internet gracias a los captchas cada vez resulta más difícil a miles de personas. La razón: el avance de las inteligencias artificiales y un sistema con una finalidad oculta



En las últimas semanas, desde esa chistera tecnológica conocida como Silicon Valley, han salido un buen puñado de sorpresas relacionadas con la inteligencia artificial. Atrás han quedado esos tiempos preChatGPT en los que este tipo de novedades eran algoritmos que operaban en la sombra, en las entrañas de nuestros dispositivos, para optimizar el consumo energético y alargar un poco la vida útil de nuestra batería.

Ahora lo que vende son herramientas que hagan su magia ante nuestros ojos, a las que podamos pedir que respondan nuestras preguntas y generen textos o imágenes con la misma calidad (o incluso mejor) que un usuario de carne y hueso.

La última en mover ficha ha sido Apple. La multinacional desplegará dentro de unos meses, de forma progresiva y por entregas, su inteligencia artificial, que llegará tanto a los iPhone como a los iPad y los Mac.

Muchas miradas durante y después de la WWDC se han centrado en Siri, una de las grandes beneficiadas de la cumbre anual de desarrolladores. El asistente de voz, gracias a los grandes modelos de lenguaje, será ahora capaz de entender mejor nuestras peticiones, pero también de ver lo que hay en nuestro terminal y realizar acciones sobre aplicaciones. Antes de la manzana, Microsoft hizo lo propio y enseñó una función que era capaz de ‘almacenar’ todo lo que hacías en tu PC y localizarlo posteriormente.



Los primeros en destapar sus cartas fueron OpenAI y Google.

La primera presentó GPT-4o, una nueva versión de su IA que, además de coquetear y bromear con una voz muy parecida a la de Scarlett Johansson, tenía unas capacidades que le permitían, por ejemplo, echar un vistazo a los deberes que estaba haciendo un chico en una tableta y ayudarle a completarlos o explicarle algunos conceptos.

Horas después, el buscador mostró su Project Astra, un superasistente que puede funcionar a través de la cámara de un móvil o de unas gafas inteligentes, capaz de detectar unas gafas que habías dejado olvidadas en una mesa y luego recordarlo, o fisgonear un monitor de la oficina que entraba en plano, ver lo que un ingeniero estaba programando e incluso mejorarlo.


Captchas ante IA multimodales

Todos estos sistemas tienen algo en común, más allá del simple hecho de que son herramientas basadas en inteligencia artificial generativa: la multimodalidad. Básicamente, ahora lo que hacen estos sistemas es combinar y analizar información de distintos formatos (imagen, texto, audio…) en lugar de utilizar una única referencia, como ocurría hasta ahora. Sin entrar en demasiados vericuetos técnicos, esto es lo que les permite ver lo que hay en una pantalla y crear una respuesta a medida y probablemente correcta en cada momento. Esto, además de abrir nuevas posibilidades, también supone un nuevo riesgo para una de las medidas de seguridad más extendidas y populares de internet, los conocidos como captchas, esas pruebas destinadas a discernir si el que intenta acceder a una web o un servicio online es un humano o una máquina.


Eso ha obligado a estas pruebas a evolucionar.


Quizá haya notado que en los últimos meses le cuesta algo más resolverlos. Lo que en un principio era copiar unas letras difuminadas, después fue seleccionar una serie de imágenes dependiendo si aparecían determinados objetos o no. Ahora algunos usuarios se están encontrando el más difícil todavía: se les pregunta que identifiquen figuras o partes de ellas contestando cosas como si funcionan gracias a un motor de combustión interna o si han salido de un huevo.

Y estos son solo algunos ejemplos de una larga lista. Hace unos meses, los usuarios de una plataforma de streaming tuvieron que escuchar una serie de audios y seleccionar los que tenían un patrón repetitivo.

En otros casos, los usuarios de LinkedIn se encontraron con un sistema que les pedía utilizar una serie de controles para colocar un animal de frente. Usuarios de Twitter o PlayStation han reportado otras versiones de ese captcha en donde tienen que colocar los objetos de una habitación en el sentido del ejemplo que se les muestra junto a la prueba.





Los rompecabezas más extremos retan incluso a identificar criaturas inventadas como un "yoko". Si se está preguntando qué diablos es, basta con saber que es una especie de yoyo con apariencia de caracol que se inventó una inteligencia artificial. Tal fue el revuelo que se armó en redes sociales y foros, que los responsables de Discord, la plataforma donde se había encontrado esa prueba, tuvieron que dar explicaciones, afirmando que no era cosa suya, sino del proveedor al que habían contratado.



Una batalla antigua

Que estos sistemas hayan incrementado notablemente su dificultad no es algo estrictamente nuevo. Hace ocho años, un profesor de informática de la Universidad de Illinois llamado Jason Polakis publicó un trabajo en el que había conseguido descifrar siete de cada diez captchas de Google utilizando software disponible comercialmente de reconocimiento de imágenes.

Aquello certificaba que el aprendizaje automático había avanzado tremendamente y que los algoritmos podían hacer tareas básicas como reconocer letras, imágenes o voz mejor que los humanos. La cuestión es que el acelerón de la inteligencia artificial parece haber elevado la situación a un nivel inédito.

En varias entrevistas, Polakis señalaba ya en la pasada década que se había alcanzado tal madurez en el que hacerlo más difícil “para el software” también terminaba haciéndolo “demasiado difícil para muchas personas”.


Que estos sistemas hayan incrementado notablemente su dificultad no es algo estrictamente nuevo


Hay otro motivo fundamental que explica la razón por la que estas pruebas se están volviendo más y más complejas. En realidad, lo de los captchas se podría definir como una enorme pescadilla que no deja de morderse la cola una y otra vez porque las interacciones se utilizan para entrenar y afinar sistemas automáticos e inteligencias artificiales, por lo que cualquier cosa que se ponga sobre la mesa tiene papeletas para quedar obsoleta con el paso del tiempo.

Esto puede sonar nuevo, pero es una realidad que lleva años operando. Google compró reCAPTCHA en 2009. La cifra no trascendió, pero se habló de una operación millonaria. Esta empresa era propiedad de Luis Von Ahn, empresario latinoamericano creador de la tecnología captcha y fundador de otras empresas como Duolingo.

El buscador utilizó ese sistema para transcribir millones de libros y artículos impresos. ¿Cómo lo hacían? Pues básicamente introducían dos conjuntos de datos en las pruebas de autenticación. El primero era uno que ya conocían y servía para comprobar tu humanidad; el segundo era uno que desconocían. Las múltiples respuestas les servían para identificar ese grafismo y asociarlo a una letra concreta. De esta manera, mataban dos pájaros de un tiro.

Hay empresas que incluso han hecho de esto su principal forma de negocio. Es el caso de hCAPTCHA, una alternativa independiente que surgió en 2017. Esta empresa experimentó un gran subidón en 2020, a raíz de que Google decidiese cobrar por el uso de su sistema reCAPTCHA a algunas de las mayores webs y plataformas que lo utilizaban. hCAPTCHA no es que siguiese siendo gratis, es que incluso pagaba a los administradores. Una oferta que no tardó en atraer, entre otros, a Cloudflare, uno de los intermediarios más importantes para que internet funcione correctamente. La propia hCAPTCHA reconoció que sus peticiones se generan para clientes que buscan cubrir sus necesidades de aprendizaje automático gracias a respuestas complicadas y de calidad.

¿Hay alternativas en el horizonte? Sí, aunque todavía no están implementadas a gran escala. Si las inteligencias artificiales y los bots cada vez son mejores resolviendo actividades cognitivas, hay quien cree que estos controles también deberían estar vinculados a otras acciones, incluso físicas, detectadas a través de los sensores del móvil. Por ejemplo, se podría llegar a pedir a los usuarios que girasen sus terminales o los moviesen de determinada manera para saber que son humanos.


Si las IA y los bots cada vez son mejores en actividades cognitivas, hay quien cree que los controles deberían vincularse a otras acciones


Hay otras líneas en marcha como puede ser la detección de los movimientos del puntero en la pantalla. En este sentido, una de las que más camino ha recorrido es Privacy Pass, un sistema en el que han colaborado un buen número de empresas tecnológicas y que propone utilizar todas esas cosas que hacemos antes de llegar a un captcha para autenticar que somos seres humanos.

Esos pasos que darían la pista serían acciones como el desbloqueo facial o vía huella dactilar del dispositivo, entre otros. Acciones que no son fácilmente replicables por un bot, por muy inteligente que sea. Los datos se procesarían localmente y nunca abandonarían el dispositivo. Apple, por ejemplo, implementó este sistema a partir de iOS16.