Saltar al contenido

La evolución de los CAPTCHAs: De texto distorsionado a inteligencia artificial

Posteado en 12 minutos de lectura
Índice

En el siempre cambiante panorama de la ciberseguridad, pocos elementos han experimentado una evolución tan fascinante como los CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart). Desde sus humildes inicios como simples desafíos de texto distorsionado hasta los sofisticados sistemas basados en inteligencia artificial que vemos hoy, los CAPTCHAs han sido tanto un escudo contra ataques automatizados como un campo de batalla entre defensores y atacantes.

Texto distorsionado y el nacimiento de CAPTCHA

El concepto de CAPTCHA fue introducido formalmente en 2003 por Luis von Ahn, Manuel Blum, Nicholas J. Hopper y John Langford [1]. Sin embargo, la idea de usar pruebas automatizadas para distinguir entre humanos y máquinas se remonta a finales de los años 90, cuando los primeros sistemas de texto distorsionado comenzaron a aparecer en la web.

Estos primeros CAPTCHAs, como GIMPY y EZ-GIMPY, presentaban palabras distorsionadas que los usuarios debían descifrar y escribir. La premisa era simple: los humanos podían reconocer fácilmente el texto a pesar de las distorsiones, mientras que los sistemas de Reconocimiento Óptico de Caracteres (OCR) de la época luchaban con esta tarea.

Sin embargo, la efectividad de estos sistemas pronto se vio comprometida. En 2003, Mori y Malik demostraron que podían romper el sistema EZ-GIMPY con una precisión del 92% y el sistema GIMPY más complejo con una precisión del 33% utilizando técnicas de visión por computadora [2]. Este fue solo el comienzo de una larga lucha entre los desarrolladores de CAPTCHAs y los atacantes.

reCAPTCHA: Un giro ingenioso

En 2007, von Ahn y su equipo introdujeron reCAPTCHA, un sistema que no solo mejoraba la seguridad, sino que también aprovechaba el esfuerzo humano para un propósito adicional: la digitalización de libros [3]. reCAPTCHA presentaba dos palabras: una conocida por el sistema y otra extraída de un libro escaneado que los OCR no podían descifrar con confianza.

Este enfoque innovador no solo mejoró la seguridad al usar palabras reales con distorsiones más complejas, sino que también contribuyó significativamente a la digitalización de textos históricos. Google adquirió reCAPTCHA en 2009, marcando el inicio de una nueva era en la evolución de los CAPTCHAs [6].

Sin embargo, incluso este sistema mejorado no era infalible. A medida que las técnicas de OCR y de aprendizaje automático avanzaban, la vulnerabilidad de los CAPTCHAs basados en texto se hizo cada vez más evidente. En 2014, Goodfellow et al. demostraron que podían resolver los CAPTCHAs de texto más difíciles con una precisión del 99.8% utilizando redes neuronales convolucionales [4].

reCAPTCHA v2: El salto a las imágenes

En 2014, Google dio un paso significativo con la introducción de reCAPTCHA v2, también conocido como “No CAPTCHA reCAPTCHA” [5]. Este nuevo sistema representó un cambio de paradigma en la forma en que los CAPTCHAs operaban.

La innovación clave de reCAPTCHA v2 fue la introducción de un motor de análisis de riesgo avanzado y adaptativo. Este motor evaluaba una serie de factores de comportamiento del usuario antes de decidir si presentar un desafío. En muchos casos, los usuarios legítimos podían simplemente marcar una casilla que decía “No soy un robot” y pasar la verificación sin enfrentarse a ningún desafío adicional.

Sin embargo, cuando el sistema detectaba un comportamiento sospechoso o no podía determinar con confianza si el usuario era humano, presentaba un nuevo tipo de desafío: la selección de imágenes. A los usuarios se les mostraba una cuadrícula de imágenes y se les pedía que seleccionaran todas las que contenían un objeto específico, como semáforos, coches o pasos de peatones.

Este cambio a los desafíos basados en imágenes fue una respuesta directa a los avances en el reconocimiento de texto por parte de las máquinas. La idea era aprovechar la capacidad superior de los humanos para reconocer objetos en contextos diversos y complejos, una tarea que en ese momento era considerablemente más difícil para los sistemas de IA.

No obstante, la comunidad de seguridad informática no tardó en ponerse manos a la obra. En 2016, Sivakorn et al. demostraron que era posible romper reCAPTCHA v2 utilizando técnicas de aprendizaje profundo para el reconocimiento de imágenes [6]. Su sistema podía resolver automáticamente el 70.78% de los desafíos de imágenes de reCAPTCHA, requiriendo solo 19 segundos por desafío.

Un estudio a gran escala realizado por Searles et al. [7] reveló datos interesantes sobre el rendimiento de reCAPTCHA v2 en el mundo real. El estudio, que involucró a más de 3,600 usuarios durante 13 meses, mostró que el tiempo medio de resolución para los desafíos de imagen era de 10.3 segundos, significativamente más alto que los 1.85 segundos para los desafíos de casilla de verificación.

Diversificación de los CAPTCHAs

Además de los CAPTCHAs basados en texto e imágenes, se han desarrollado varios otros tipos para mejorar la seguridad y la experiencia del usuario [9]:

  • CAPTCHAs de audio: Diseñados principalmente para mejorar la accesibilidad, estos CAPTCHAs requieren que los usuarios identifiquen palabras o números reproducidos en un clip de audio.
  • CAPTCHAs de video: Estos sistemas presentan un breve clip de video y piden a los usuarios que describan o identifiquen su contenido.
  • CAPTCHAs basados en juegos: Utilizan tareas interactivas simples o puzzles que son fáciles para los humanos pero difíciles de automatizar.
  • CAPTCHAs matemáticos: Presentan problemas matemáticos simples que los usuarios deben resolver.
  • CAPTCHAs basados en lógica: Requieren que los usuarios resuelvan acertijos lógicos simples o respondan preguntas de sentido común.

Cada uno de estos tipos tiene sus propias ventajas y desafíos en términos de seguridad y usabilidad.

reCAPTCHA v3: La era de la IA invisible

En respuesta a estos avances, Google lanzó reCAPTCHA v3 a finales de 2018 [7]. Esta versión representa quizás el cambio más radical en la evolución de los CAPTCHAs hasta la fecha.

reCAPTCHA v3 elimina por completo los desafíos visibles para el usuario. En su lugar, opera en segundo plano, utilizando aprendizaje automático avanzado para analizar el comportamiento del usuario en el sitio web. El sistema asigna una puntuación de riesgo a cada interacción, que va de 0.0 (muy probablemente un bot) a 1.0 (muy probablemente un humano).

Este enfoque tiene varias ventajas:

  1. Mejora significativamente la experiencia del usuario al eliminar las interrupciones causadas por los desafíos.
  2. Proporciona a los propietarios de sitios web más control sobre cómo manejar diferentes niveles de riesgo.
  3. Hace que sea mucho más difícil para los atacantes determinar exactamente qué comportamientos están siendo analizados.

Sin embargo, este nuevo enfoque también plantea nuevos desafíos. Por un lado, depende en gran medida de la recopilación y análisis de datos del comportamiento del usuario, lo que plantea preocupaciones sobre la privacidad. Por otro lado, a medida que los sistemas de IA se vuelven más sofisticados, existe la posibilidad de que los bots puedan eventualmente imitar el comportamiento humano lo suficientemente bien como para engañar a estos sistemas.

El papel dual de la IA

La evolución de los CAPTCHAs ilustra perfectamente el papel dual que la inteligencia artificial juega en la ciberseguridad moderna. Por un lado, la IA se utiliza para crear sistemas de defensa más sofisticados, como el motor de análisis de riesgo de reCAPTCHA v3. Por otro lado, los atacantes utilizan técnicas de IA y aprendizaje profundo para intentar burlar estos mismos sistemas.

Esta dinámica ha llevado a una especie de carrera armamentista de IA en el campo de los CAPTCHAs. Cada avance en las técnicas de ataque conduce a mejoras en los sistemas de defensa, que a su vez impulsan nuevos métodos de ataque más sofisticados.

Desafíos actuales y futuros

A medida que los CAPTCHAs continúan evolucionando, se enfrentan a una serie de desafíos significativos:

1. Equilibrio entre seguridad y experiencia del usuario

Uno de los mayores desafíos en el diseño de CAPTCHAs es encontrar el equilibrio adecuado entre la seguridad y la facilidad de uso. Como profesionales de la seguridad informática, sabemos que incluso el sistema más seguro puede ser ineficaz si los usuarios lo encuentran demasiado engorroso y buscan formas de evitarlo.

El estudio de Searles et al. [7] arrojó luz sobre este dilema. Descubrieron que los usuarios percibían los desafíos de imagen como ‘molestos’, mientras que los desafíos de casilla de verificación se consideraban ‘fáciles’. Esto se reflejó en las puntuaciones de la Escala de Usabilidad del Sistema (SUS), donde los desafíos de imagen obtuvieron una puntuación de 58 (‘OK’), mientras que los de casilla de verificación alcanzaron 78 (‘bueno’).

reCAPTCHA v3 ha dado un paso importante en esta dirección al eliminar los desafíos visibles, pero esto plantea la pregunta: ¿Hasta qué punto podemos confiar en el análisis de comportamiento en segundo plano sin comprometer la privacidad del usuario?

2. Accesibilidad

Los CAPTCHAs siguen presentando desafíos significativos de accesibilidad. Mientras que los CAPTCHAs de audio se desarrollaron como una alternativa para usuarios con discapacidades visuales, estos a menudo resultan difíciles de resolver debido al ruido de fondo y pueden ser problemáticos para usuarios con discapacidades auditivas. Los CAPTCHAs basados en lógica o matemáticas pueden ser una opción más inclusiva, pero pueden presentar dificultades para usuarios con ciertas discapacidades cognitivas [9].

Los que son basados en imágenes, aunque mejores en algunos aspectos, siguen presentando desafíos significativos para los usuarios con discapacidades visuales. El enfoque invisible de reCAPTCHA v3 podría ofrecer una solución a este problema, pero plantea sus propias preocupaciones sobre la equidad y la transparencia.

3. La amenaza de la IA avanzada

A medida que los sistemas de IA se vuelven más sofisticados, la línea entre el comportamiento humano y el de las máquinas se vuelve cada vez más borrosa. Los recientes avances en modelos de lenguaje grande (LLMs) como GPT-3 y GPT-4 han demostrado una capacidad sorprendente para generar texto que parece humano y resolver problemas complejos.

El estudio de Searles et al. [7] proporciona una perspectiva interesante sobre este tema. Sus resultados mostraron que un sistema automatizado podía resolver los desafíos de reCAPTCHA v2 con una tasa de éxito del 95% en pruebas offline, superando incluso a los servicios de resolución de CAPTCHAs basados en humanos.

Un estudio reciente de Hossen et al. [8] demostró que un sistema automatizado podía resolver los desafíos de imagen de reCAPTCHA v2 con una tasa de éxito del 92.40% en pruebas en línea, superando incluso a los servicios de resolución de CAPTCHAs basados en humanos.

Esto no solo plantea serias preguntas sobre la eficacia a largo plazo de los CAPTCHAs tradicionales, sino que también sugiere que el lema de reCAPTCHA v2, ‘fácil para los humanos, difícil para los bots’, ya no se cumple.

4. Privacidad y recopilación de datos

Los sistemas CAPTCHA modernos, especialmente aquellos que utilizan análisis de comportamiento, requieren la recopilación y procesamiento de grandes cantidades de datos de usuario. Esto plantea preocupaciones significativas sobre la privacidad y el cumplimiento de regulaciones como el GDPR en Europa o el CCPA en California.

Como expertos en seguridad, debemos considerar cuidadosamente las implicaciones éticas y legales de estos sistemas, y buscar soluciones que protejan tanto la seguridad como la privacidad de los usuarios.

El futuro de los CAPTCHAs

Mirando hacia el futuro, es probable que veamos una evolución continua de los CAPTCHAs en varias direcciones:

  1. Mayor integración de IA: Los futuros sistemas CAPTCHA probablemente utilizarán IA más avanzada para analizar patrones de comportamiento más sutiles y complejos, haciendo que sea aún más difícil para los bots imitar el comportamiento humano.

  2. CAPTCHAs personalizados: Podríamos ver el desarrollo de sistemas que adaptan dinámicamente el tipo y la dificultad del desafío basándose en el perfil de riesgo específico de cada usuario.

  3. Métodos de autenticación alternativos: A medida que los CAPTCHAs tradicionales se vuelven menos efectivos, podríamos ver un mayor uso de métodos alternativos como la autenticación de dos factores o la biometría conductual.

  4. CAPTCHAs basados en tareas: Futuros sistemas podrían requerir que los usuarios realicen tareas más complejas que sean fáciles para los humanos pero difíciles de automatizar, como responder a preguntas de sentido común o resolver acertijos lógicos simples.

  5. Enfoques híbridos: Probablemente veremos sistemas que combinen múltiples métodos de verificación, utilizando una combinación de análisis de comportamiento, desafíos interactivos y otros factores para determinar la legitimidad de un usuario.

    Conclusión

El estudio a gran escala de Searles et al. [7] en el cual me he basado substancialmente en este artículo proporciona evidencia empírica de que reCAPTCHA v2, aunque ampliamente utilizado, presenta desafíos significativos tanto en términos de usabilidad como de seguridad. Sus hallazgos sugieren que es hora de repensar fundamentalmente nuestro enfoque de los CAPTCHAs, buscando soluciones que sean verdaderamente fáciles para los humanos y difíciles para las máquinas en la era de la IA avanzada.

La evolución de los CAPTCHAs desde simples desafíos de texto distorsionado hasta sofisticados sistemas basados en IA refleja la naturaleza siempre cambiante de la seguridad en línea. Como profesionales de la seguridad informática, debemos mantenernos al tanto de estos desarrollos y considerar cuidadosamente cómo implementar estos sistemas de manera que protejan nuestros servicios sin comprometer la experiencia del usuario o la privacidad.

Los CAPTCHAs seguirán siendo una parte importante de la seguridad en línea en el futuro previsible, pero su forma y función continuarán evolucionando. Nuestro desafío será asegurarnos de que sigan cumpliendo su propósito principal: distinguir entre humanos y máquinas, incluso cuando esa distinción se vuelve cada vez más borrosa.

Fuentes: [1] von Ahn, L., Blum, M., Hopper, N. J., & Langford, J. (2003). CAPTCHA: Using Hard AI Problems for Security. In Advances in Cryptology — EUROCRYPT 2003. [2] Mori, G., & Malik, J. (2003). Recognizing Objects in Adversarial Clutter: Breaking a Visual CAPTCHA. [3] von Ahn, L., Maurer, B., McMillen, C., Abraham, D., & Blum, M. (2008). reCAPTCHA: Human-Based Character Recognition via Web Security Measures. Science, 321(5895), 1465-1468. [4] Goodfellow, I. J., Bulatov, Y., Ibarz, J., Arnoud, S., & Shet, V. (2014). Multi-digit Number Recognition from Street View Imagery using Deep Convolutional Neural Networks. [5] Google Developers. (s.f.). reCAPTCHA. [6] Sivakorn, S., Polakis, I., & Keromytis, A. D. (2016). I’m not a human: Breaking the Google reCAPTCHA. Black Hat. [7] Searles, A., Nakatsuka, Y., Ozturk, E., Paverd, A., Tsudik, G., & Enkoji, A. (2023). Dazed & Confused: A Large-Scale Real-World User Study of reCAPTCHAv2. [8] Hossen, M. I., Tu, Y., Rabby, M. F., Islam, M. N., Cao, H., & Hei, X. (2020). Bots Work Better than Human Beings: An Online System to Break Google’s Image-based reCaptcha v2. [9] Tariq, N., Khan, F. A., Moqurrab, S. A., & Srivastava, G. (2023). CAPTCHA Types and Breaking Techniques: Design Issues, Challenges, and Future Research Directions.