Patrocinado por:

«No soy un robot»: ¿siguen siendo seguros los captcha?

La Voz REDACCIÓN

OCIO@

VioNettaStock

Un reciente problema de seguridad y varios test de inteligencia artificial ponen en cuestión una de las clásicas protecciones de la red

16 dic 2024 . Actualizado a las 13:33 h.

La frase «no soy un robot» es una de las más familiares del mundo de internet. Es el mensaje que hace referencia a un captcha, una de las medidas de seguridad más utilizadas en páginas web y aplicaciones que verifican si el usuario es o no un humano. 

Sus siglas en inglés es Completely Automated Public Turing test to tell Computers and Humans Apart, test de Turing pública y automático para diferenciar entre computadoras y humanos. Se trata de un método desarrollado en 1990 por un grupo de investigadores de la Universidad Carnegie Mellon, en Pittsburgh, Pensilvania, uno de los centros privados de mayor prestigio.

Lo que se buscaba y se consiguió con los captcha fue proteger a las plataformas de bots y automatizadores que se registrasen, por ejemplo, de forma masiva. Lo que plantean los captcha a los usuarios es un fácil enigma: desde identificar una lista de números o letras distorsionados, al de imágenes en el que tienes que seleccionar aquellas que cumplan un criterio o directamente ese botón que pone «no soy un robot».

Uno de los sistemas más resistentes de internet ha registrado hace poco un problema de seguridad. Y es que a principios de este año, se alertaba de ataques que distribuían el robo de datos Lumma mediante captchas falsos dirigidos a jugadores online. Los usuarios que navegaban en webs de juegos eran engañados para acceder a anuncios que ocupaban toda la pantalla. Una página con un captcha falso les daba instrucciones para descargar un malware. Así, con la acción de «no soy un robot» se copiaba un comando oculto de PowerShell de Windows en el portapapeles de cualquier PC y se activaba la descarga fraudulenta sin que el usuario lo supiese. Ese malware buscaba archivos de criptomonedas, cookies y datos de contraseñas en los dispositivos además de entrar en páginas de ecommerce para aumentar su tráfico. Desde Karpersky se asegura que se han registrado solo en los meses de septiembre y octubre del 2024 más de 140.000 interacciones con estos anuncios. 

La esencia

La esencia de los captcha es evitar que los estafadores y spammers utilicen bots para completar formularios web con fines maliciosos. El uso del captcha prevé los registros falsos, las transacciones sospechosas, protege la integridad de las encuestas o detecta spam de comentarios y reseñas de productos. 

Recientemente, un chatbot impulsado por Inteligencia Artificial de OpenAI, GTT 4, consiguió engañar a un trabajador de TaskRabbit para que le proporcionara un servicio con el que pudiera saltar un captcha, fingiendo necesitarlo por ser una persona con discapacidad visual.

GPT 4 es la nueva generación del modelo de lenguaje desarrollado por OpenAI e impulsado por IA. La compañía lo presentó en marzo, subrayando su diseño para resolver grandes problemas con precisión y ofrecer respuestas más útiles y seguras, con capacidad de generar contenido a partir de entradas de texto e imagen.

Con estas nuevas capacidades, según la propia compañía desarrolladora, GPT 4 ha sido capaz de crear una situación en la que finge ser una persona con discapacidad visual para ponerlo como excusa a la hora de intentar saltar un captcha y conseguir que un humano lo haga por él.

Es solo un ejemplo de que la evolución de la inteligencia artificial generativa puede dotar de armas a los ciberdelincuentes para desarrollar malware. Además, también facilita la proliferación de métodos de ingeniería social, como la suplantación de identidad, la creación de fake news o saltar barreras como el captcha, todo ello para malas prácticas.

Otro de los ejemplos tuvo lugar en el 2023 cuando la Policía Nacional detenía a 69 personas en diferentes provincias que bloquearon el sistema de citas online de extranjería mediante un bot en el que conseguían los huecos disponibles para luego revenderlos.

El bot informático desarrollado por esa organización tenía la capacidad de evitar los mecanismos de seguridad instalados en la página web donde se realiza la solicitud de citas, siendo capaz de sortear los captcha, destinados a detectar la presencia de este tipo de programas informáticos.

Google y la verificación automática

En el 2023, Google comenzó a probar una función de Verificación automática en Chrome que facilita el proceso de identificación de los usuarios en los sitios web para corroborar que no se trata de robots, realizándolo directamente con el navegador, en vez de tener que recurrir a procesos de verificación con el usuario.

Los sitios web a menudo utilizan como sistema de verificación los captcha. Así, el sistema aparece cada vez que se intenta acceder a una página o llevar a cabo alguna acción en un sitio web. 

Ahora, Chrome ha implementado una función de verificación automática que pretende facilitar este proceso y evitar al usuario que tenga que pasar por la verificación de forma habitual. 

Con la Verificación automática los sitios web pueden corroborar que se trata de un usuario real y no un robot comprobándolo a través de Chrome y la verificación en sitios web visitados anteriormente, ya que se almacena «una pequeña cantidad de información» de verificaciones anteriores con Chrome. En este sentido, los usuarios deberán continuar realizando las verificaciones captcha pero no con tanta frecuencia.

Esta función fue implementada en Chrome en febrero y los desarrolladores de Chromium se refieren a ella como función «antiabuso».