Captchas: Los ataques de robots "spammers" a sitios web generan ingeniosas contramedidas

22/02/07 18:33:43 

LOS ATAQUES DE ROBOTS "SPAMMERS" A SITIOS WEB GENERAN INGENIOSAS CONTRAMEDIDAS

Mercè Molist

¿Le han pedido alguna vez que, para usar un servicio de la red,
introduzca las letras y números que aparecen en una imagen? Es
un "captcha", una medida de defensa contra los programas robot que
llenan los blogs de correo basura, revientan encuestas o crean cuentas
gratuitas con fines ilícitos. Sirve para que el servicio sepa
que somos humanos y a veces falla porque, precisamente, somos humanos.

"CAPTCHA" son las siglas de "Completely Automated Public Turing test to
Tell Computers and Humans Apart" (Prueba de Turing pública y
automática para diferenciar a máquinas y humanos) o, como
explica Cristian Borghello, director del sitio de seguridad Segu-Info:
"Un programa que genera una prueba que los humanos somos capaces de
resolver, pero las máquinas no".

Su origen es el "Test de Turing", del padre de la inteligencia
artificial Alan Turing, que según la Wikipedia consiste en que
"una máquina debe hacerse pasar por humana en una
conversación con un hombre, a través de una
comunicación estilo chat. Si el sujeto es incapaz de determinar
si habla con un humano o una máquina, se considera que la
máquina es inteligente".

Los "captchas" dan la vuelta a esta idea: aprovechan las habilidades
que nos diferencian de las máquinas para dar fe de que somos
humanos. Un "captcha" típico es la imagen que contiene
caracteres distorsionados que sólo pueden inferir las personas.
Su uso más frecuente es evitar el registro automático de
robots en sitios web y el correo basura en los blogs.

"Las zonas de comentarios de los blogs son víctimas habituales
del "spam" porque se pueden enviar mensajes en formularios que no
requieren registro ni nada más que el ingreso de texto", explica
Borghello. Así, es fácil crear un pequeño programa
que envíe enlaces publicitarios a millones de blogs. Si son muy
visitados, miles de personas verán el anuncio. 

Además, los buscadores indexarán el enlace publicitario
en una buena posición, al considerarlo de relevancia
proporcional a la del blog. Una medida usada en cada vez más
sitios, a los que se ha unido recientemente la Wikipedia, es poner la
etiqueta "noindex" en el código del web: indica a los buscadores
que no tengan en cuenta los enlaces que aparecen en sus páginas
y así dejan de ser apetecibles para los "spammers". 

Pero la herrienta más común contra estos robots siguen
siendo los "captchas" y, conscientes de ello, los criminales
contraatacan: "Primero pagaban a personas para resolverlos, pero no les
salía a cuenta. Ahora usan el reconocimiento óptico de
caracteres (OCR), utilizado en los escaners", explica Borghello. 

Para evitarlo, están apareciendo fórmulas alternativas de
"captchas", como pedir que se resuelva una suma sencilla, mostrar
diversas imágenes y preguntar algo relacionado con ellas
(¿Qué persona es rubia?) o hacer un puzzle. Pero, aunque
consigan engañar a los robots, los viejos y nuevos "captchas"
adolecen de un gran problema: no todo el mundo puede resolverlos.

Los "captchas" basados en imágenes son un escollo para las
personas con deficiencias visuales y hay algunos tan difíciles
que se resisten incluso a quienes tienen buena vista. Los que hacen
preguntas tienen el problema del idioma en qué se formulan y
esperan la respuesta. Los que piden relacionar cosas adolecen de
ambigüedades de interpretación.

Google experimenta ahora, en algunos de sus servicios, con una
alternativa para las personas con déficits de visión: los
"captchas" auditivos. El usuario pincha un enlace, oye unos
números y los escribe en el formulario. El escollo, entonces, es
para quien tenga deficiencias auditivas y, también, el idioma
del "captcha". Los robots deben estarse riendo de lo lindo.

Segu-Info

http://www.segu-info.com.ar

Captcha - Wikipedia

http://es.wikipedia.org/wiki/Captcha

The Captcha Project

http://www.captcha.net

Ejemplos de captchas

http://www.flickr.com/photos/tags/captcha

Captcha de última generación

http://www.segu-info.com.ar/boletin/img/bol79_03.png

Breaking CAPTCHAs Without Using OCR

http://www.puremango.co.uk/cm_breaking_captcha_115.php

Captcha decoder

http://sam.zoy.org/pwntcha

Google - Audio captchas when visual images are unusable

http://googleblog.blogspot.com/2006/11/audio-captchas-when-visual-images-are.html

Copyright 2007 Mercè Molist. 

Verbatim copying, translation and distribution of this entire article
is permitted in any digital and no commercial medium, provided this
notice is preserved.  

Reports 2007