Esta prueba informática determina si el usuario del sistema es un humano o una computadora. Si el número de solicitudes al sitio supera el valor umbral, se activa la protección y el usuario debe introducir la información del CAPTCHA para demostrar que no forma parte de una red de bots, y solo entonces se le concederá acceso al recurso solicitado.
La prueba CAPTCHA en sí es muy conocida, pero su historia tiene algunos datos interesantes que vale la pena mencionar.
La increíble historia de CAPTCHA
La palabra CAPTCHA es un acrónimo de «Completely Automatic Public Turing Test to Tell Computers and Humans Apart» (Prueba pública de Turing completamente automática para distinguir entre computadoras y humanos). Consiste en una tarea que un humano puede resolver con bastante facilidad, pero que la inteligencia artificial (una computadora o un bot) no puede resolver o le resulta muy difícil resolver.
El sistema original para dicha verificación fue desarrollado a principios de la década de 2000 por ingenieros de la Universidad Carnegie Mellon (una universidad privada y centro de investigación ubicado en Pittsburgh, Pensilvania, EE. UU.). El equipo, dirigido por Luis von Ahn (más conocido como Big Lou), buscaba una forma de filtrar los registros y mensajes automáticos múltiples de programas robot (bots de spam) que se hacían pasar por humanos.
El equipo desarrolló un programa que mostraba un formulario con texto tan distorsionado que los humanos podían entenderlo, pero los bots informáticos no. Cualquiera que se encontrara con una verificación de este tipo tenía que introducir el texto correcto en el campo antes de poder enviar el cuestionario o escribir un mensaje.
El programa tuvo tanto éxito que comenzó a utilizarse activamente en todo el mundo.
Desafortunadamente, los ingenieros olvidaron una característica humana muy importante: el deseo de ganar dinero. Pronto apareció en Internet una forma adicional de ganar dinero: resolver tareas CAPTCHA, que comenzaron a ser patrocinadas por spammers que generaban spam, inundaciones y hackeos de cuentas. Este tipo de ingresos se hizo especialmente popular en los países pobres, donde la oportunidad de ganar incluso una pequeña cantidad de dinero por miles de soluciones CAPTCHA era muy atractiva.
A pesar de ello, el servicio siguió siendo muy popular. Sus desarrolladores estaban atormentados por un solo pensamiento: el de estar obligando a millones de personas a convertir imágenes en texto sin sentido, perdiendo su tiempo en manipulaciones que no servían más que para la protección.
En una entrevista con The New York Times en 2011, Von An se preguntó: «¿Se puede hacer algo útil con este tiempo?».
Después de un tiempo, se introdujo una nueva versión: la aplicación reCAPTCHA, que también se basaba en la necesidad de introducir texto de una imagen en un formulario, pero en lugar de un conjunto aleatorio de letras y números, el usuario ahora tenía que descifrar texto real de documentos de archivo. El software es bastante capaz de reconocer texto impreso, pero con el tiempo, la tinta se desvanece y la computadora ya no puede identificar ciertas palabras, mientras que los humanos pueden manejar bien esta tarea.
En primer lugar, se sometieron a reconocimiento los números archivados de The New York Times y, posteriormente, tras la venta del servicio a Google en 2009, se descifraron libros antiguos. Resulta que cada vez que se introducía texto con reCAPTCHA, se estaba realizando un trabajo gratuito para una de estas empresas, y las palabras y expresiones ilegibles que no tenían sentido eran en realidad fragmentos de pruebas de archivo.
Por supuesto, no todos los usuarios estaban contentos con su trabajo «gratuito» para Google, pero reCAPTCHA seguía siendo la forma más eficaz de combatir los bots. Von An estaba muy satisfecho con la nueva versión del programa y aseguraba que el servicio seguiría funcionando durante mucho tiempo y que había mucho material impreso para reconocer en los archivos.
Sin embargo, en esta era de alta tecnología y desarrollo generalizado e integral de Internet, lo que hoy parece moderno y progresista puede dejar de existir en unos años. Lo mismo podría ocurrir con CAPTCHA.
En 2014, los analistas de Google descubrieron que la inteligencia artificial podía reconocer y descifrar incluso las imágenes CAPTCHA y reCAPTCHA más complejas con una precisión del 99,8 %, lo que volvió a hacer que estos servicios fueran prácticamente inútiles para proteger contra los bots de Internet.
Para resolver este problema, Google comenzó a mejorar la tecnología y, en la primavera de 2012, se puso en marcha un experimento para reconocer imágenes de Google Maps y Google Street View, cuyos fragmentos contenían números de tareas.
A principios de 2015, los desarrolladores introdujeron un nuevo sistema que no se basa en la capacidad del usuario para reconocer palabras o números en una imagen, sino que analiza su comportamiento en la página web hasta que hace clic en la casilla de verificación. Todo lo que tienes que hacer es hacer clic en el botón «No soy un robot» y seguir trabajando.
El algoritmo analiza las acciones del usuario y, basándose en los datos obtenidos, concluye si se trata de un humano o de un bot. Si el análisis no da una respuesta clara, se le puede pedir al usuario que se someta a una verificación adicional, por ejemplo, seleccionar solo las imágenes con gatos de entre varias imágenes con animales.
La «carrera armamentística» entre los especialistas en seguridad y los spammers nunca terminará. Se seguirán desarrollando nuevos mecanismos de protección y se seguirán encontrando nuevas formas inteligentes de eludirlos.
Actualmente, la tecnología reCAPTCHA es una de las formas más fiables de combatir las redes de bots y se utiliza con éxito en Stingray Service Gateway para proteger contra los ataques DDoS, mientras que el desarrollo constante de la plataforma y el lanzamiento de nuevas versiones permiten el uso de mecanismos de protección actualizados.
