¿Qué es CAPTCHA?

Los CAPTCHA tradicionales requerían que los usuarios leyeran y reescribieran correctamente el texto distorsionado que no podía ser interpretado por la tecnología de reconocimiento óptico de caracteres (OCR). Las versiones más recientes de la tecnología CAPTCHA utilizan análisis de riesgo y de comportamiento impulsados por IA para autenticar a los usuarios humanos en función de patrones de actividad en lugar de una sola tarea.

Muchos sitios web requieren que los usuarios completen un desafío de CAPTCHA antes de iniciar sesión en un perfil de cuenta, enviar un formulario de registro, publicar un comentario o realizar alguna otra acción que los hackers podrían usar para realizar un bot. Al cumplir con el desafío, los usuarios confirman que son humanos y luego se les permite continuar su actividad en el sitio web.

* Una prueba de Turing, llamada así por su creador Alan Turing, prueba la capacidad de una máquina para exhibir inteligencia humana.

Varios grupos diferentes desarrollaron las primeras formas de la tecnología CAPTCHA en paralelo a finales de la década de 1990 y principios de la de 2000. Cada grupo trabajó para combatir el problema generalizado de los hackers que emplean bots para actividades nefastas en el Internet. Por ejemplo, los informáticos que trabajaban para el motor de búsqueda AltaVista querían evitar que los bots agregaran direcciones web maliciosas a la base de datos de enlaces de la compañía.

Los investigadores de la compañía de TI Sanctum presentaron el primer sistema de estilo CAPTCHA en 1997. Sin embargo, un grupo de investigadores en ciencias de la computación de la Universidad Carnegie Mellon dirigido por Luis von Ahn y Manuel Blum introdujo por primera vez el término CAPTCHA en 2003. Este equipo se inspiró para trabajar en la tecnología por un ejecutivo de Yahoo que pronunció una charla sobre los problemas de la compañía con los robots de spam que se registran en millones de cuentas de correo electrónico falsas.

Para resolver el problema de Yahoo, von Ahn y Blum crearon un programa informático que:

1. generó una cadena aleatoria de texto,
2. generó una imagen distorsionada de ese texto (llamada "código CAPTCHA"),
3. presentó la imagen al usuario,
4. pidió al usuario que ingresara el texto en un campo de formulario y luego enviara la entrada haciendo clic en una casilla de verificación junto a la frase "No soy un robot".

Debido a que la tecnología OCR de la época tenía dificultades para descifrar un texto tan distorsionado, los bots no podían superar el desafío de CAPTCHA. Si un usuario ingresó la cadena correcta de caracteres, se podría asumir de manera confiable que era humano y se le permitió completar el registro de su cuenta o el envío de un formulario sitio web.

Yahoo implementó la tecnología de Carnegie Mellon, requiriendo que todos los usuarios pasen una prueba CAPTCHA antes de registrar para obtener una dirección de email. Esto redujo significativamente la actividad de los robots de spam, y otras empresas procedieron a adoptar CAPTCHA para proteger sus formularios web. Sin embargo, con el tiempo, los piratas informáticos emplearon datos de los desafíos CAPTCHA completados para desarrollar algoritmos capaces de pasar las pruebas CAPTCHA de manera confiable. Esto marcó el comienzo de una carrera armamentista en curso entre los desarrolladores de CAPTCHA y los ciberdelincuentes que impulsó la evolución de la funcionalidad de CAPTCHA.

Lanzado por von Ahn en 2007, reCAPTCHA v1 tenía un doble objetivo: hacer que el desafío CAPTCHA basado en texto fuera más difícil de descifrar para los bots y mejorar la precisión del OCR que se empleaba en ese momento para digitalizar textos impresos.

reCAPTCHA logró el primer objetivo al aumentar la distorsión del texto que se muestra al usuario y, finalmente, agregar líneas a través del texto.

Logró el segundo objetivo reemplazando una sola imagen de texto distorsionado generado aleatoriamente por dos imágenes de texto distorsionado de palabras escaneadas de textos reales por dos programas de OCR diferentes. La primera palabra, o palabra de control, era una palabra identificada correctamente por ambos programas de OCR. La segunda palabra fue una palabra que ambos programas de OCR no pudieron identificar. Si el usuario identificó correctamente la palabra de control, reCAPTCHA asumió que el usuario era humano y le permitió continuar con su tarea, y también asumió que el usuario identificó la segunda palabra correctamente y empleó la respuesta para verificar futuros resultados de OCR.

De esta manera, reCAPTCHA mejoró la seguridad antibot y mejoró la precisión de los textos digitalizados en el Internet Archive y el New York Times. Irónicamente, con el tiempo, también ayudó a mejorar la inteligencia artificial y de machine learning hasta el punto de que, para 2014, pudieron identificar los CAPTCHA de texto más distorsionados el 99.8 % de las veces.

En 2009, Google adquirió reCAPTCHA y comenzó a usarlo para digitalizar textos para Google Books mientras lo ofrecía como un servicio a otras organizaciones. Sin embargo, a medida que la tecnología OCR progresó con la ayuda de reCAPTCHA, también lo hicieron los programas de inteligencia artificial que podían resolver eficazmente los reCAPTCHA basados en texto. En respuesta, Google introdujo reCAPTCHA de reconocimiento de imágenes en 2012, que reemplazó el texto distorsionado con imágenes tomadas de Google Street View. Los usuarios demostraron su humanidad al identificar objetos del mundo real, como farolas y taxis. Además de eludir el OCR avanzado que ahora despliegan los bots, estos reCAPTCHA basados en imágenes se consideraron más convenientes para los usuarios de aplicaciones móviles.

En 2014, Google lanzó reCAPTCHA v2, que reemplazó los desafíos basados en texto e imágenes con una simple casilla de verificación que decía "No soy un robot". A medida que los usuarios marcan la casilla, reCAPTCHA v2 analiza las interacciones del usuario con los sitios web, evaluando factores como la velocidad de escritura, las cookies, el historial del dispositivo y la dirección IP para determinar si es probable que el usuario sea humano. La casilla de verificación también es parte de cómo funciona el CAPTCHA: sin CAPTCHA, reCAPTCHA rastrea los movimientos del mouse del usuario cuando hace clic en la casilla. Los movimientos de un humano tienden a ser más caóticos, mientras que los movimientos de los bots son más precisos. Si ningún CAPTCHA reCAPTCHA sospecha que un usuario puede ser un bot, le presenta un desafío CAPTCHA basado en imágenes.

reCAPTCHA v3, que debutó en 2018, prescinde de la casilla de verificación y amplía el análisis de riesgos impulsado por IA de no CAPTCHA reCAPTCHA. ReCAPTCHA v3 se integra con un sitio web a través de la API de JavaScript y se ejecuta en segundo plano, puntuando el comportamiento de un usuario en una escala de 0,0 (probablemente un bot) a 1,0 (probablemente un humano). Los propietarios de sitios web pueden configurar acciones automáticas para que se activen en determinados momentos cuando el puntaje de un usuario sugiera que puede ser un bot. Por ejemplo, los comentarios de blog de usuarios con puntajes bajos pueden enviar a una cola de moderación cuando hacen clic en "submit," o se puede pedir a los usuarios con puntajes bajos que completen un proceso de autenticación multifactor cuando intentan iniciar sesión en una cuenta.

Los métodos de autenticación basados en IA, como reCAPTCHA v3, tratan de eludir el problema de los piratas informáticos. Al eliminar los retos interactivos del proceso de verificación CAPTCHA, impiden que los piratas informáticos empleen los datos de retos resueltos anteriormente para capacitar bots que descifren nuevos CAPTCHA. Por ello, los expertos creen que los CAPTCHA basados en IA podrían convertir en la norma y sustituir por completo a los CAPTCHA basados en retos en los próximos cinco a diez años.

La tecnología CAPTCHA tiene varios usos comunes como medida de detección y prevención de bots, entre ellos:

1. Prevención de registros falsos
2. Protección contra transacciones sospechosas
3. Protección de la integridad de las encuestas en línea
4. Detener el spam en comentarios y reseñas de productos
5. Defensa contra ataques de fuerza bruta y de diccionario

Al presentar a los usuarios una prueba CAPTCHA antes de registrarse para obtener una cuenta de correo electrónico, perfil de redes sociales u otros servicios en línea, las empresas pueden bloquear bots que utilizan estos servicios para propagar spam o malware o realizar actividades maliciosas. Los primeros adoptadores de CAPTCHA fueron empresas como Yahoo, Microsoft y AOL, que querían evitar que los bots se registraran para cuentas de correo electrónico falsas.

Compañías como Ticketmaster emplearon CAPTCHA para evitar que los bots compren productos básicos limitados, por ejemplo, entradas para conciertos, y los revendan en mercados secundarios.

Los bots pueden comprometer las encuestas en línea sin un elemento disuasorio como CAPTCHA. La necesidad de proteger la integridad de los resultados de las encuestas en línea motivó algunos de los primeros experimentos con tecnología similar a CAPTCHA. Por ejemplo, para garantizar la calidad de sus encuestas de opinión en línea durante las elecciones presidenciales de Estados Unidos de 1996, Digital Equipment Corporation pidió a los usuarios que localizaran e hicieran clic en una imagen pixelada de una bandera en el sitio web antes de emitir su voto.

Los estafadores y ciberdelincuentes a menudo emplean secciones de comentarios de blogs y artículos para difundir estafas y malware. También pueden realizar spam de reseñas, en el que publican grandes cantidades de reseñas falsas para mejorar artificialmente la clasificación de un producto en un sitio web de comercio electrónico o un motor de búsqueda. Los bots también pueden emplear secciones de comentarios desprotegidas para realizar campañas de acoso. Estas actividades maliciosas se pueden mitigar pidiendo a los usuarios que completen un CAPTCHA antes de publicar un comentario o una reseña.

En los ataques de fuerza bruta y de diccionario, los hackers irrumpen en una cuenta empleando bots para adivinar combinaciones de números, letras y caracteres especiales hasta encontrar la contraseña correcta. Estos ataques se pueden detener requiriendo a los usuarios que completen un CAPTCHA luego de una cierta cantidad de intentos fallidos de inicio de sesión.

Si bien la tecnología CAPTCHA generalmente demostró ser efectiva para detener a los bots, no está exenta de desventajas, que incluyen:

1. Experiencias de usuario engorrosas
2. Desafíos de accesibilidad
3. Tasas de conversión reducidas
4. La capacidad de la IA del bot para derrotar a los nuevos CAPTCHA
5. Preocupaciones de privacidad

Los desafíos CAPTCHA agregan un paso adicional a los procesos de registro, inicio de sesión y finalización de formularios que algunas personas encuentran molestos. Además, a medida que la complejidad de los CAPTCHA aumentó para derrotar a bots más sofisticados, resolverlos también se volvió frustrante para los usuarios. En un estudio de 2010, cuando los investigadores de la Universidad de Stanford pidieron a grupos de tres personas que resolvieran los mismos CAPTCHA, los participantes acordaron por unanimidad la solución CAPTCHA solo el 71 % de las veces. El estudio también encontró que los hablantes no nativos de inglés tienen más dificultades para resolver CAPTCHAs que los hablantes nativos, lo que sugiere que los CAPTCHAs podrían ser más desafiantes para algunos grupos demográficos que para otros.

Los CAPTCHA de texto e imagen pueden ser extremadamente desafiantes o imposibles de resolver para los usuarios con discapacidad visual. Esto se ve agravado por el hecho de que los lectores de pantalla no pueden leer la mayoría de los desafíos de CAPTCHA porque estas pruebas están diseñadas para ser ilegibles para las máquinas.

Las formas alternativas de CAPTCHA intentaron abordar este problema, pero tienen sus propias limitaciones. Los CAPTCHA de audio, que requieren que los usuarios descifren el audio ilegible, son notoriamente difíciles de resolver. El estudio de Stanford mencionado anteriormente encontró que los usuarios están de acuerdo unánimemente en las soluciones de audio CAPTCHA solo el 31 % de las veces.

MAPTCHA, un tipo de CAPTCHA que requiere que los usuarios resuelvan problemas matemáticos simples, es muy vulnerable a ser descifrado por algoritmos.

El uso de CAPTCHA inaccesibles también puede tener repercusiones legales. La Enmienda de la Sección 508 a la Ley de Rehabilitación de 1973, introducida en 1998, requiere que las agencias federales de Estados Unidos y sus socios del sector privado hagan que la información digital sea accesible a las personas con discapacidades. Las compañías pueden estar violando este requisito si no tienen opciones CAPTCHA accesibles.

La experiencia de usuario inconveniente y la inaccesibilidad de los CAPTCHA pueden influir negativamente en las tasas de conversión. En un estudio de caso de 2009 de 50 sitios web, pedir a los usuarios que completaran un CAPTCHA redujo las conversiones legítimas en un 3.2 %. Los CAPTCHA de audio pueden ser especialmente perjudiciales: el estudio de Stanford mencionado anteriormente encontró que los usuarios dejan de resolver CAPTCHA basados en sonido el 50 % de las veces.

Los esquemas de CAPTCHA cambiaron muchas veces desde el inicio de la tecnología porque los bots evolucionaron constantemente para superar cada nuevo desafío de CAPTCHA. La estructura misma de la tecnología CAPTCHA contribuye a este problema porque los CAPTCHA dependen de problemas de IA no resueltos para frustrar a los bots. Cuando los humanos resuelven los desafíos de CAPTCHA, generan conjuntos de datos que pueden capacitar algoritmos de aprendizaje automático para superar estos problemas de IA que antes eran imposibles. Por ejemplo, en 2016, el investigador en ciencias de la computación Jason Polakis empleó la búsqueda inversa de imágenes de Google para resolver los CAPTCHAS basados en imágenes de Google con un 70 %.

Si bien las nuevas formas de CAPTCHA intentan resolver los problemas de accesibilidad y detener la carrera armamentista de los bots eliminando por completo los desafíos interactivos, algunos usuarios e investigadores consideran que los CAPTCHA impulsados por IA son invasivos. Las personas expresaron su preocupación sobre cómo reCAPTCHA v3 emplea códigos y cookies para rastrear a los usuarios en múltiples sitios web. Algunos sienten que no hay suficiente transparencia sobre cómo estos datos de seguimiento podrían usar para fines más allá de la verificación.