HDG explica: ¿Qué es CAPTCHA y cómo funciona?

Al iniciar sesión en un sitio web en línea o ingresar información confidencial, a veces se le puede pedir que haga clic en una casilla de verificación, haga coincidir imágenes o escriba una serie aleatoria de números y letras.

Esto se conoce como CAPTCHA. Está diseñado para detener el comportamiento no humano en línea. Pero, ¿qué significa eso realmente? ¿Y puede un CAPTCHA con un paso tan simple como marcar una casilla realmente evitar que los bots realicen acciones en línea?

Analicemos en profundidad qué es CAPTCHA y cómo se utiliza para brindar seguridad en Internet.

¿Qué es CAPTCHA?

CAPTCHA es un extraño acrónimo de una oración bastante fácil de entender: significa Ccompletamente Aautomatizado PAGublic Turante prueba para contar Cordenadores y Hhumanos Aparte.

Entonces, esencialmente CAPTCHA, como lo conocemos en línea, es una prueba automatizada para determinar si un usuario es un humano o un bot. Un bot podría ser un software automatizado diseñado para publicar comentarios de spam en línea, páginas de inicio de sesión de fuerza bruta con un una serie de contraseñas, o tal vez un software que intente extraer automáticamente información de otros sitios web. Al usar un CAPTCHA, se puede evitar que los bots realicen un comportamiento automatizado como este.

Un CAPTCHA realmente podría ser cualquier cosa, siempre que pueda usar algún tipo de prueba que solo se puede pasar pensando como un humano. En el pasado, el tipo más común de CAPTCHA sería una serie de letras y números mezclados que los usuarios escribirían para aprobar la prueba.

Las letras fueron dibujadas con una fuente casi inelegible, para que sea muy difícil para cualquier tipo de software automatizado leerlas. Funcionó, pero con la IA cada vez más poderosa, la seguridad que ofrecía era cuestionable a medida que pasaban los años.

En estos días, el CAPTCHA más común que verá en línea es de Google, llamado reCAPTCHA. Hay alternativas, pero podemos usar las de Google como explicación de cómo funciona todo.

Los tipos de reCAPTCHA y ¿funcionan?

Google ha pasado por tres iteraciones principales del software reCAPTCHA ahora. Veamos en qué se diferencia cada versión entre sí y cómo funcionan para detener a los bots.

reCAPTCHA v1 - Prueba de texto tradicional

El reCAPTCHA v1 original puede parecerle nostálgico ahora, y eso se debe a que ya no se usa, por una buena razón. Este método requeriría que los usuarios escribieran palabras leyendo y reescribiendo lo que vieron en la pantalla. El texto siempre fue difícil de leer, en un intento por evitar que los bots lo descifraran.

En última instancia, este nivel de CAPTCHA no brindó mucha protección durante mucho tiempo y, con un sistema tan frustrante, molestó a los usuarios y perdió el tráfico de muchos propietarios de sitios web.

A medida que avanzábamos hacia la era de los dispositivos móviles y la disminución de la capacidad de atención, Google quería crear una solución mejor y, por lo tanto, reCAPTCHA v1 se eliminó y nació v2.

reCAPTCHA v2 - Casilla de verificación No soy un robot

reCAPTCHA v2 fue un gran paso en la dirección correcta. Con reCAPTCHA v2, el software de Google prestará atención a las pulsaciones de teclas y a la forma en que se mueve el mouse para determinar si eres un robot o no.

Con cada interacción en un sitio web con reCAPTCHA v2, el software aprenderá más sobre lo que es y no es el comportamiento humano, haciéndolo más preciso a medida que aprende. Si su comportamiento es similar al de un humano, lo logrará con solo hacer clic en la casilla de verificación.

Si te marcan como sospechoso, se te pedirá que hagas clic en las imágenes coincidentes de una foto. Esta es una prueba que le da al usuario final solo 55 segundos para resolver. Para un bot, esto parecería complicado, y Google parece respaldarlo para proteger los sitios web contra los bots. Sin embargo, una búsqueda en Google revelará todo tipo de estudios, pruebas y software que afirman haber roto el sistema con un bot.

En resumen, reCAPTCHA v2 detendrá a los bots, los ralentizará, tal vez hasta el punto en que no valga la pena intentarlo, pero es posible que no siempre detenga a una persona u organización motivada.

reCAPTCHA v3 - CAPTCHA oculto

reCAPTCHA 3 es diferente a las opciones mencionadas anteriormente. En lugar de realizar una prueba para determinar si un usuario es un bot o no, reCAPTCHA supervisará la interacción de un usuario con un sitio web para darle una puntuación a ese usuario.

Ese puntaje usará diversos factores, como cómo se mueven por el sitio o qué páginas visitan primero, y respaldará eso con datos anteriores.

El propietario de un sitio web puede configurar reCAPTCHA v3 para bloquear o denegar el acceso de un usuario según su nivel de puntuación. Alternativamente, se puede configurar para que las acciones se aceleren o limiten durante un breve período de tiempo, las publicaciones se envíen a las colas de moderación o se requiera una autenticación secundaria.

Una vez más, se están realizando estudios para intenta romper reCAPTCHA v3. Esta vez, sin embargo, los investigadores están buscando crear una IA que pueda visitar una página web y realizar acciones tan humanas como sea posible para pasar las pruebas CAPTCHA invisibles.

Entonces, ¿realmente funciona CAPTCHA?

Hasta ahora, una cosa ha sido clara: la investigación ha demostrado que CAPTCHA, o reCAPTCHA, no detiene todas las actividades no humanas. Sin embargo, limita severamente el tráfico de bots y detiene la mayoría de ellos en seco. Entonces, en ese sentido, podemos decir que CAPTCHA funciona, incluso si no tiene una tasa de éxito del 100%.

Quizás la IA se vuelva más inteligente y pueda actuar más como un humano, pero en ese caso, Google eliminará reCAPTCHA v4, u otros desarrolladores de CAPTCHA lanzarán algo nuevo.

Es como un juego interminable del gato y el ratón. En última instancia, un sitio web hace mucho mejor si tiene CAPTCHA y puede reducir la actividad de los bots de miles a cantidades casi minúsculas.