Hasta ahora dichos sistemas habían logrado pasar distintas pruebas para evaluar el nivel de seguridad ofrecido, pero un grupo de investigadores de la Universidad de Stanford lograron dar con una serie de algoritmos que permiten vulnerar dichos sistemas.

Los investigadores crearon una serie de algoritmos de visión artificial que detectan el tipo de sistema Captcha utilizado, para luego dar con el código que les permita pasar dicho nivel de seguridad e ingresar al sitio. En general aquellos sistemas Captcha cuyos códigos son “adivinados” en el 1% de las oportunidades son descartados (por ser inseguros), pero el sistema ideado por los investigadores logró pasar de manera exitosa el 66% de los Captchas utilizados por la compañía Visa, el 70% de los de Blizzard y el 25% de los utilizados por Wikipedia.

De momento el único sistema que logró pasar con éxito las pruebas es el que utiliza Google (conocido como ReCaptcha), pero los investigadores aseguran que sólo es necesario modificar los algoritmos para lograr vulnerarlo.

Definitivamente los sistemas de seguridad cada vez lo son menos, por lo que resulta imprescindible que seamos los usuarios los principales custodios de nuestra información en Internet.

Link: Outsmarted: Captcha security not much of a gotcha (CNET)

Link: Juanelo

Frente a las más estrictas medidas de seguridad  algunos spammers “sofisticados” han optado por el outsourcing, es decir, pagar a gente de la India, Bangladesh, China y otros países en desarrollo para resolver CAPTCHAs.

El precio actual de este trabajo oscila entre 80 centavos a 1.20 dólares por cada mil CAPTCHAs descifradas de acuerdo al sitio Freelancer.com, donde docenas de proyectos de este tipo son ofertados cada semana.

Luis von Ahn, profesor de ciencias de la computación en la Universidad Carnegie Mellon, quién fue pionero en la elaboración de letras cifradas, estima que miles de personas en países en desarrollo, principalmente en Asia, resuelven estos “rompecabezas” a diario por dinero. Aunque la paga no es grande en comparación con otros  puestos de trabajo tradicionales, parece ser lo suficientemente atractivo como para atraer a los jóvenes en países en desarrollo, donde 50 centavos por una hora se considera un salario decente. Mientras trabajadores agrícolas no calificados ganan alrededor de USD$2 al día en muchas partes de la India.

Ariful Islam Shaon, una estudiante universitaria de 20 años de edad en Bangladesh, dijo que cuenta con un equipo de 30 estudiantes que trabajan para el rellenando CAPTCHAs. Los estudiantes suelen trabajar dos y media a tres horas desde sus hogares y hacer por lo menos $ 6 cada 15 días; ganan más cuanto más rápido y más preciso son. Reconoció que no es mucho pero requiere poco esfuerzo y ayudar a tener dinero extra en el bolsillo.

Empresas como Google (con reCaPTCHA), Yahoo!, Microsoft, Facebook y MySpace emplean este sistema -entre otras cosas- para  controlar las solicitudes y envío masivo de mensajes. Aunque también algunas emplean códigos de confirmación por mensajes de texto.

“No se puede evitar que se pague por personas que sean capaces de resolver CAPTCHAs… Nuestro objetivo es hacer que la creación de cuentas masivas sea menos atractiva para los spammers, y el hecho de que ellos tengan que pagar a la gente para resolverlos demuestra que la herramienta está funcionando”, dijo Hughes Macduff, director de ingeniería en Google.

Las CAPTCHAs se utilizan para evitar que software automatizado realice acciones degradan la calidad del servicio de un sistema, como el gasto de recursos (DDoS, registro de cuentas masivas, fuerza bruta), promoción comercial (spam), acoso (robo de identidades) y vandalismo. Pero los spammers pagan por la “autentificación humana” o recurren a algoritmos y módulos OCR que resuelven las complejas imágenes.

Link: Spammers Pay Others to Answer Security Tests (The New York Times)

Prueba de Turing pública y automática para diferenciar máquinas y humanos

El día de ayer Google compró reCAPTCHA, un sistema desarrollado originalmente por la Universidad de Carnegie Mellon y que más tarde se convirtió en una compañía sólida encargada de proporcionar CAPTCHAS o bien letras cifradas que fueran difícilmente interpretadas por bots. De esta manera ayuda a proteger más de 100,000 sitios de spam y fraude, ¿Recuerdan el caso de Christopher Poole (aka moot ó la persona más influyente del mundo)?.

Pero la importancia de la empresa radica no solo en la implementación de un servicio Web gratuito para brindar CAPTCHAs en lenguajes de programación como PHP o plugins para WordPress, sino en el método que utiliza para brindar esta imágenes que solo los humanos pueden interpretar y que al mismo tiempo ayuda a digitalizar textos.

Dado a que lo textos digitalizados generalmente provienen de los archivos escaneados periódicos y libros antiguos, a los programas de OCR les resulta difícil reconocer estas palabras porque la tinta y el papel se han degradado a lo largo del tiempo, pero si estas se convierten en CAPTCHAs para resolverse por humanos se simplifica el proceso de reconocimiento.

Sistema reCAPTCHA

El texto escaneado es objeto de análisis por dos diferentes programas de reconocimiento óptico de caracteres (OCR), en los casos en que los programas no están de acuerdo la imagen/palabra en cuestión se convierte en un CAPTCHA. La palabra se muestra junto con una palabra de control ya conocida, entonces el sistema asume que si los humanos escriben la palabra de control correctamente, la palabra en cuestión también es correcta.

La identificación realizada por cada programa de OCR se le da un valor de 0.5 puntos y cada interpretación de un humano le da un punto completo, cuando la identificación alcanza 2.5 votos la palabra es considerada válida, al mismo tiempo que son recicladas constantemente como palabras de control.

Cerca de 200 millones de CAPTCHAs son resueltos por humanos alrededor del mundo cada día, es por eso que esta tecnología resulta muy valiosa para proyectos como Google Books y Google News Archive Search.

Actualmente reCAPTCHA está digitalizando los archivos del New York Times, Veinte años han sido digitalizados y el proyecto espera tener los 110 años efectuados en 2010.

Ahora “la maquina” de Google no solo almacenrá datos y conocerá tu perfíl como consumidor, sino que también aprenderá a leer con nuestra ayuda.

Link: Scanning For Google Books And Google News (TechCrunch / Gracias Fernando)