Home / En Portada / Investigadores vencen a la verificación CAPTCHA en sitios conocidos

Investigadores vencen a la verificación CAPTCHA en sitios conocidos

Una nueva herramienta es capaz de resolver verificaciones CAPTCHA en Wikipedia, eBay, CNN y otros sitios populares.

Los investigadores de la Universidad de Stanford desarrollaron una herramienta automatizada capaz de descifrar pruebas anti-spam basadas en texto usadas por sitios web populares, con un grado de precisión considerable.

Elie Bursztein, Matthieu Martin y John C. Mitchel presentaron los resultados de su estudio de año y medio dedicado a los CAPTCHA en la reciente Conferencia de Computadoras y Seguridad de Comunicaciones ACM en Chicago.

CAPTCHA significa ‘Completely Automated Public Turing test to tell Computers and Humans Apart’ (o la ‘Prueba Completamente Automatizada para Diferenciar Computadoras y Humanos’), y consiste en acertijos que se supone sólo los seres humanos deben ser capaces de resolver. Los sitios web usan estos tests para bloquear robots de spam que automatizan tareas como el registro de cuentas y la publicación de comentarios.

Hay varios tipos de CAPTCHA, algunos usan audio, otros se basan en problemas matemáticos, pero las versiones más comunes consisten en que los usuarios escriban texto que se les muestra distorsionado. El equipo de Stanford ideó varios métodos para limpiar ruido de fondo generado a propósito dentro de la imagen, y así descomponer cadenas de texto en caracteres individuales que sean más fáciles de reconocer, una técnica que se denomina segmentación.

Algunos de sus algoritmos de descomposición de CAPTCHA están inspirados en aquellos usados por robots para orientarse en distintos entornos, y han sido incorporados dentro de una herramienta automatizada, llamada Decaptcha. Esta herramienta fue confrontada con los CAPTCHA utilizados en 15 sitios web de perfil alto:

Los 15 tipos de CAPTCHA analizados. Fuente: Elie Bursztein/CCS

Los resultados revelaron que las pruebas usadas por el sistema de pagos Authorize.net de Visa pudieron ser resueltas el 66 por ciento de veces, mientras que los ataques al portal de World of Warcraft de Blizzard tuvieron una tasa de éxito de 70 por ciento.

Otros resultados interesantes se registraron con eBay, cuya verificación CAPTCHA falló un 43 por ciento de veces; y Wikipedia, donde uno de cada cuatro intentos tuvo éxito. Menores, pero aún importantes tasas de éxito se hallaron en Digg, CNN y Baidu (20, 16 y 5 por ciento, respectivamente).

Los únicos sitios probados dodne los CAPTCHA no pudieron ser derrotados fueron Google y reCAPTCHA. El segundo es una implementación originalmente desarrollada en la Universidad Carnegie Mellon y comprado luego por el gigante de las búsquedas en Internet en setiembre de 2009.

Authorize.net y Digg se han cambiado a reCAPTCHA desde que se realizaron las pruebas, pero no queda claro si los otros sitios web han hecho cambios por su cuenta. Sin embargo, los investigadores de Stanford ofrecieron varias recomendaciones para mejorar la seguridad de los CAPTCHA.

Entre las medidas recomendadas está volver aleatorios la longitud de la cadena de texto, el tamaño de los caracteres, aplicar un efecto de ola a la prueba, hacer el recuadro desplegable, o usar líneas en el fondo. Otra conclusión notoria fue que usar juegos complicados de caracteres no tiene efecto sobre la seguridad y, por el contrario, perjudica la usabilidad.

Bursztein y su equipo también demostraron progresos en este campo en el pasado. En mayo, desarrollaron una técnica para resolver con éxito los CAPTCHA de audio en sitios como Microsoft, eBay, Yahoo o Digg, y planean seguir mejorando su herramienta Decaptcha en el futuro.

PCWorld – 1/11/2011

Leave a Reply

Your email address will not be published. Required fields are marked *

Connect with Facebook

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Scroll To Top