En Resumen
- Investigadores de la universidad ETH Zurich utilizaron inteligencia artificial para resolver el 100% de los CAPTCHA creados por reCAPTCHAv2 de Google, utilizando un número similar de intentos que los usuarios humanos.
- Los resultados, publicados el 13 de septiembre, indican que las tecnologías actuales de IA pueden explotar los CAPTCHA basados en imágenes.
- Expertos en seguridad cibernética advierten que los bots se están volviendo más inteligentes y que los CAPTCHA podrían necesitar evolucionar continuamente para mantenerse efectivos.
Investigadores que utilizan inteligencia artificial han descifrado uno de los sistemas de seguridad CAPTCHA más utilizados, diseñados para mantener a los bots fuera de los sitios web al determinar si un usuario es humano.
Utilizando métodos avanzados de machine learning, investigadores de la universidad ETH Zurich, con sede en Suiza, resolvieron el 100% de los CAPTCHA creados por el popular producto reCAPTCHAv2 de Google, utilizando un número similar de intentos que los usuarios humanos.
Los resultados, publicados el 13 de septiembre, indican que "las tecnologías actuales de IA pueden explotar los CAPTCHA basados en imágenes", escribieron los autores.
"Esto ha estado llegando desde hace un tiempo", dijo Matthew Green, profesor asociado de ciencias de la computación en el Instituto de Seguridad de la Información de Johns Hopkins. "La idea completa de los CAPTCHA era que los humanos son mejores resolviendo estos rompecabezas que las computadoras. Estamos aprendiendo que eso no es cierto".
El termino CAPTCHA significa Completely Automated Public Turing Test, diseñado para distinguir entre computadoras y humanos. El sistema utilizado en el nuevo estudio, reCAPTCHA v2 de Google, prueba a los usuarios pidiéndoles que seleccionen imágenes que contienen objetos como semáforos y pasos de peatones.
Aunque el proceso que los investigadores suizos utilizaron para derrotar a reCAPTCHAv2 no fue completamente automatizado y requirió intervención humana, un proceso completamente automatizado para eludir los sistemas CAPTCHA podría estar a la vuelta de la esquina.
"No me sorprendería si eso sucede en el corto plazo", dijo Phillip Mak, líder del centro de operaciones de seguridad cibernética para una gran organización gubernamental y profesor adjunto en la Universidad de Nueva York, a Decrypt.
En respuesta a la mejora de la capacidad de los bots para resolver CAPTCHA, empresas como Google, que lanzó un producto reCAPTCHA de tercera generación en 2018, están aumentando continuamente la sofisticación de sus productos.
"Los bots se están volviendo continuamente más inteligentes", dijo Sandy Carielli, analista principal de Forrester. "Lo que funcionó hace unas semanas puede que no funcione hoy".
"Los mejores jugadores están evolucionando continuamente porque tienen que hacerlo", dijo. "La evolución está en los modelos de detección y en poner las respuestas correctas para no solo bloquear a los bots, sino también hacer que sea tan costoso para los bots que vayan a otro lugar".
Sin embargo, introducir desafíos que sean más difíciles para que los bots los resuelvan corre el riesgo de añadir una capa adicional de complejidad a los rompecabezas, lo que puede volverse más inconveniente para los humanos.
Los usuarios promedio pueden "necesitar pasar más y más tiempo resolviendo CAPTCHA y eventualmente podrían simplemente rendirse", dijo Mak.
Aunque el futuro de CAPTCHA como tecnología de seguridad sigue siendo incierto, otros, incluido Gene Tsudik, profesor de ciencias de la computación en la Universidad de California, Irvine, son más pesimistas.
"reCAPTCHA y sus descendientes deberían simplemente desaparecer", dijo Tsudik. "Hay algunas otras técnicas que aún están bien, o al menos mejor, pero no significativamente. Así que todavía va a ser una carrera armamentista".
Si el uso de CAPTCHA desaparece, podría haber consecuencias serias para una amplia gama de partes interesadas en Internet, a menos que las firmas de ciberseguridad puedan idear soluciones novedosas, dijo Green.
"Es un gran problema para los anunciantes y las personas que operan servicios si no saben si el 50% de sus usuarios son reales", dijo Green. "El fraude era un gran problema cuando tenías que contratar personas para hacerlo, y es un problema peor ahora que puedes hacer que la IA cometa el fraude por ti".
Editado por Josh Quittner y Sebastian Sinclair