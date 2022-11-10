Varios grupos diferentes desarrollaron las primeras formas de tecnología CAPTCHA en paralelo a finales de la década de 1990 y principios de la década de 2000. Cada grupo trabajó para combatir el problema generalizado de los piratas informáticos que utilizan bots para realizar actividades nefastas en Internet. Por ejemplo, los científicos informáticos que trabajaban para el motor de búsqueda AltaVista querían impedir que los bots añadieran direcciones web maliciosas a la base de datos de enlaces de la empresa.

Los investigadores de la empresa informática Sanctum presentaron el primer sistema del estilo CAPTCHA en 1997. Sin embargo, un grupo de investigadores informáticos de la Universidad Carnegie Mellon dirigido por Luis von Ahn y Manuel Blum introdujo por primera vez el término CAPTCHA en 2003. Este equipo se inspiró para trabajar en la tecnología en un ejecutivo de Yahoo que dio una charla sobre los problemas de la empresa con los robots de spam que se inscribían en millones de cuentas de correo electrónico falsas.

Para resolver el problema de Yahoo, von Ahn y Blum crearon un programa informático que:

generó una cadena aleatoria de texto, generó una imagen distorsionada de ese texto (llamada "código CAPTCHA"), presentó la imagen al usuario, pedía al usuario que introdujera el texto en un campo de formulario y luego enviara la entrada haciendo clic en una casilla de verificación junto a la frase "No soy un robot".

Como la tecnología OCR de la época tenía dificultades para descifrar un texto tan distorsionado, los bots no podían superar el desafío de CAPTCHA. Si un usuario introduce la cadena de caracteres correcta, se puede suponer de forma fiable que es un humano y se le permite completar el registro de su cuenta o el envío de un formulario web.

Yahoo implementó la tecnología de Carnegie Mellon y exigía que todos los usuarios pasaran una prueba de CAPTCHA antes de registrarse para obtener una dirección de correo electrónico. Esto redujo significativamente la actividad de los spambots, y otras empresas procedieron a adoptar CAPTCHAs para proteger sus formularios web. Sin embargo, con el tiempo, los hackers utilizaron los datos de los desafíos CAPTCHA completados para desarrollar algoritmos capaces de superar las pruebas CAPTCHA de forma fiable. Esto marcó el inicio de una carrera armamentista continua entre los desarrolladores de CAPTCHA y los ciberdelincuentes, que ha impulsado la evolución de la funcionalidad de los CAPTCHA.

reCAPTCHA v1

Lanzado por von Ahn en 2007, reCAPTCHA v1 tenía un doble objetivo: hacer que el desafío CAPTCHA basado en texto fuera más difícil de descifrar para los bots y mejorar la precisión del OCR que se utilizaba en ese momento para digitalizar textos impresos.

reCAPTCHA logró el primer objetivo al aumentar la distorsión del texto que se muestra al usuario y, finalmente, agregar líneas a través del texto.

Consiguió el segundo objetivo sustituyendo una sola imagen de texto distorsionado generada aleatoriamente por dos imágenes de texto distorsionado de palabras escaneadas a partir de textos reales por dos programas OCR diferentes. La primera palabra, o palabra de control, fue una palabra identificada correctamente por ambos programas de OCR. La segunda palabra fue una palabra que ninguno de los dos programas de OCR logró identificar. Si el usuario identificó correctamente la palabra de control, reCAPTCHA asumió que el usuario era humano y le permitió continuar con su tarea, y también asumió que el usuario identificó la segunda palabra correctamente y usó la respuesta para verificar futuros resultados de OCR.

De esta manera, reCAPTCHA mejoró la seguridad antibots y mejoró la precisión de los textos que se digitalizaban en Internet Archive y el New York Times. Irónicamente, con el tiempo también ayudó a mejorar los algoritmos de inteligencia artificial y machine learning hasta el punto de que, en 2014, podían identificar los CAPTCHA de texto más distorsionados el 99,8 % de las veces.

En 2009, Google adquirió reCAPTCHA y comenzó a usarlo para digitalizar textos para Google Books, al tiempo que lo ofrecía como servicio a otras organizaciones. Sin embargo, a medida que la tecnología OCR progresó con la ayuda de reCAPTCHA, también lo hicieron los programas de inteligencia artificial que podían resolver eficazmente los reCAPTCHA basados en texto. En respuesta, Google introdujo los reCAPTCHA de reconocimiento de imágenes en 2012, que reemplazaron el texto distorsionado con imágenes tomadas de Google Street View. Los usuarios demostraron su humanidad identificando objetos del mundo real como farolas y taxis. Además de eludir el OCR avanzado que ahora implementan los bots, estos reCAPTCHA basados en imágenes se consideraron más convenientes para los usuarios de aplicaciones móviles.

Google reCAPTCHA v2: No CAPTCHA reCAPTCHA

En 2014, Google lanzó reCAPTCHA v2, que reemplazó los desafíos basados en texto e imágenes con una simple casilla de verificación que decía "No soy un robot". A medida que los usuarios marcan la casilla, reCAPTCHA v2 analiza las interacciones del usuario con las páginas web, evaluando factores como la velocidad de escritura, las cookies, el historial del dispositivo y la dirección IP para determinar si es probable que el usuario sea humano. La casilla de verificación también forma parte del funcionamiento del CAPTCHA: no CAPTCHA reCAPTCHA rastrea los movimientos del ratón del usuario al hacer clic en la casilla. Los movimientos de un humano tienden a ser más caóticos, mientras que los movimientos de los bots son más precisos. Si no CAPTCHA reCAPTCHA sospecha que un usuario puede ser un bot, le presenta un desafío CAPTCHA basado en una imagen.

reCAPTCHA v3

reCAPTCHA v3, que se estrenó en 2018, elimina la casilla de verificación y amplía el análisis de riesgos impulsado por la IA de no tener CAPTCHA reCAPTCHA. ReCAPTCHA v3 se integra con una página web a través de la API de JavaScript y se ejecuta en segundo plano, calificando el comportamiento de un usuario en una escala de 0,0 (probablemente un bot) a 1,0 (probablemente un humano). Los propietarios de sitios web pueden configurar acciones automatizadas para que se activen en ciertos momentos cuando la puntuación de un usuario sugiera que puede ser un bot. Por ejemplo, los comentarios de blog de los usuarios con puntuaciones bajas pueden enviarse a una cola de moderación cuando hacen clic en "enviar", o se puede pedir a los usuarios con puntuaciones bajas que completen un proceso de autenticación multifactor cuando intentan iniciar sesión en una cuenta.

Los métodos de autenticación basados en IA, como reCAPTCHA v3, buscan eludir el problema de los hackers.. Al eliminar los desafíos interactivos del proceso de verificación de CAPTCHA, evitan que los hackers utilicen los datos de los desafíos resueltos anteriormente para entrenar a los bots para descifrar nuevos CAPTCHA. Por esto, los expertos creen que los CAPTCHA basados en IA pueden convertirse en la norma, reemplazando por completo a los CAPTCHA basados en desafíos en los próximos cinco a diez años.