Captcha ya no funciona para distinguir robots de humanos en Internet, y esto es un problema para la seguridad de todos
Irfan Mehmood, University of Bradford y Kamran Mahroof, University of Bradford
Vas con prisa en el aeropuerto y necesitas acceder urgentemente a tu cuenta, solo para encontrarte con una de esas pruebas frustrantes: “Selecciona todas las imágenes con semáforos” o “Escribe las letras que ves en este cuadro”. Entrecerras los ojos, adivinas, pero de alguna manera te equivocas. Realizas otra prueba, pero el sitio aún no está satisfecho.
“Su vuelo está abordando ahora”, anuncia el altavoz mientras el sitio web te presenta otro rompecabezas. Maldices la pantalla, cierras tu portátil y te apresuras hacia la puerta.
Ahora, aquí hay un pensamiento para alegrarte: los bots ahora resuelven estos rompecabezas en milisegundos usando inteligencia artificial (IA). Qué irónico. Las herramientas diseñadas para demostrar que somos humanos ahora nos obstaculizan más que a las máquinas a las que se supone que deben mantener alejadas.
Bienvenido a la extraña batalla entre la detección de bots y la IA, que se complicará aún más en los próximos años a medida que la tecnología continúe mejorando. ¿Cómo será el futuro?
Captcha, que significa “Test de Turing público y completamente automatizado para diferenciar computadoras de humanos” (en inglés), fue inventada a principios de la década de 2000 por un equipo de científicos informáticos de la Universidad Carnegie Mellon en Pittsburgh. Era una idea simple: hacer que los usuarios de internet demostraran su humanidad mediante tareas que podían completar fácilmente, pero que las máquinas encontraban difíciles.
Las máquinas ya estaban causando estragos en línea. Los sitios web estaban inundados de bots haciendo cosas como crear cuentas falsas para comprar entradas para conciertos o publicar comentarios automatizados para comercializar productos falsos o engañar a los usuarios para que participaran en estafas. Las empresas necesitaban una forma de detener esta actividad perniciosa sin perder usuarios legítimos.
Las primeras versiones de Captcha eran básicas pero efectivas. Veías letras onduladas y distorsionadas y las escribías en un cuadro. Los bots no podían “leer” el texto como lo hacían los humanos, por lo que los sitios web permanecían protegidos.
Esto pasó por varias iteraciones en los años siguientes: ReCaptcha fue creado en 2007 para agregar un segundo elemento en el que también tenías que escribir una palabra distorsionada de un libro antiguo.
Luego, en 2014 —ya adquirido por Google— llegó reCaptcha v2. Este es el que pide a los usuarios que marquen la casilla “No soy un robot” y, a menudo, elijan entre una selección de imágenes que contienen gatos o partes de bicicletas, entre otros. Aún el más popular hoy en día, Google cobra a las empresas que utilizan este servicio en sus sitios web.
Lilgrapher
Cómo la IA ha superado el sistema
Los sistemas de IA actuales pueden resolver los desafíos en los que se basan estos Captchas. Pueden “leer” texto distorsionado, de modo que las letras onduladas o comprimidas de las pruebas Captcha originales son fáciles para ellos. Gracias al procesamiento del lenguaje natural y al aprendizaje automático, la IA puede descifrar incluso las palabras más confusas.
De manera similar, herramientas de IA como Google Vision y Clip de OpenAI pueden reconocer cientos de objetos más rápido y con mayor precisión que la mayoría de los humanos. Si un Captcha le pide a una IA que haga clic en todos los autobuses de una selección de imágenes, pueden resolverlo en fracciones de segundo, mientras que a un humano le puede tomar de 10 a 15 segundos.
Este no es solo un problema teórico. Consideremos las pruebas de conducir: las listas de espera para pruebas en Inglaterra son de varios meses, aunque puedes conseguir una prueba mucho más rápida pagando una tarifa más alta a un revendedor del mercado negro. The Guardian informó en julio que los revendedores utilizan comúnmente software automatizado para reservar todos los espacios de prueba, mientras intercambian candidatos para ajustarse a sus horarios cambiantes.
En un eco de la situación de hace 20 años, hay problemas similares con entradas para cosas como partidos de fútbol. En el momento en que las entradas están disponibles, los bots saturan el sistema, evitan los Captchas, compran entradas en masa y las revenden a precios inflados. Los usuarios genuinos a menudo se quedan sin entradas porque no pueden operar tan rápido.
De manera similar, los bots atacan plataformas de redes sociales, sitios de comercio electrónico y foros en línea. Las cuentas falsas difunden desinformación, publican spam o acaparan artículos limitados durante las ventas. En muchos casos, Captcha ya no puede detener estos abusos.
¿Qué está sucediendo ahora?
Los desarrolladores están ideando continuamente nuevas formas de verificar a los humanos. Algunos sistemas, como ReCaptcha v3 (introducido en 2018), ya no te piden resolver rompecabezas. En su lugar, observan cómo interactúas con un sitio web. ¿Mueves el cursor de manera natural? ¿Escribes como una persona? Los humanos tienen comportamientos sutiles e imperfectos que los bots aún tienen dificultades para imitar.
No a todos les gusta ReCaptcha v3 porque plantea problemas de privacidad: además, la empresa web necesita evaluar las puntuaciones de los usuarios para determinar quién es un bot, y los bots también pueden vencer el sistema. Hay alternativas que utilizan una lógica similar, como rompecabezas “deslizables” que piden a los usuarios mover piezas de un rompecabezas, pero estos también pueden ser superados.
Captcha deslizante:
Algunos sitios web ahora recurren a la biometría para verificar a los humanos, como escaneos de huellas dactilares o reconocimiento de voz, mientras que el reconocimiento facial también es una posibilidad. La biometría es más difícil de falsificar para los bots, pero tiene sus propios problemas: preocupaciones de privacidad, tecnología costosa y acceso limitado para algunos usuarios, ya sea porque no pueden permitirse el smartphone adecuado o porque no pueden hablar debido a una discapacidad.
La próxima llegada de los agentes de IA añadirá otra capa de complejidad. Esto significará que cada vez querremos que los bots visiten sitios y realicen tareas en nuestro nombre, por lo que las empresas web tendrán que empezar a distinguir entre “bots buenos” y “bots malos”. Este es un área que aún necesita mucha más consideración, pero los certificados de autenticación digital se proponen como una posible solución.
En resumen, Captcha ya no es la herramienta simple y confiable que solía ser. La IA nos ha obligado a repensar cómo verificamos a las personas en línea, y solo será más desafiante a medida que estos sistemas se vuelvan más inteligentes. Cualquiera que sea el próximo estándar tecnológico, tendrá que ser fácil de usar para los humanos, pero un paso adelante de los malos actores.
Así que la próxima vez que te encuentres haciendo clic en semáforos borrosos y te sientas frustrado, recuerda que eres parte de una lucha más grande. El futuro de demostrar la humanidad aún se está escribiendo, y los bots no se rendirán pronto.
Irfan Mehmood, Profesor Asociado en Analítica Empresarial e IA, University of Bradford y Kamran Mahroof, Profesor Asociado en Analítica de Cadenas de Suministro, University of Bradford
Este artículo se republica de The Conversation bajo una licencia Creative Commons. Lee el artículo original.
