Todo aquel que se haya dado de alta en algún servicio de Internet probablemente se habrá encontrado alguna vez con un captcha. Son esas imágenes con códigos incoherentes, borrosos y un tanto deformados que hay que descifrar y teclear en una casilla tras haber escrito la identificación de usuario y la contraseña. El internauta se siente ante ellos como si estuviese graduándose las lentes en el consultorio de un oculista.
Pero los captcha tienen un sentido y una función muy importante para, entre otras cosas, mantener alejadas a las maquinas que utilizan el correo gratuito de los usuarios como spammer o emisor compulsivo correo no deseado, generalmente información comercial y de marketing.
Qué es un captcha
Captcha son las iniciales de Completely Automated Public Turing test to tell Computers and Humans Apart. O lo que es lo mismo: una prueba visual que distingue entre humanos y computadoras. Es una frontera que un humano puede descifrar, haciendo cierto esfuerzo de imaginación y deducción lógica, pero frente a la que una máquina se queda parada. La prueba se basa en la incapacidad de un robot (computadoras dispuestas para leer todo tipo de páginas en busca de un objetivo concreto) para descifrar una imagen con caracteres que no se correspondan exactamente con los patrones de lectura para los que fue programado. Estos códigos son generados a su vez por máquinas de modo aleatorio, por lo que no existe una sucesión lógica de los mismos.
Los primeros captcha se crearon en 2000 en la Carnegie Mellon University y tomaban al azar una palabra de un diccionario de 850, la distorsionaban y la presentaban al usuario que quería acceder a una determinada página. Teóricamente, una máquina no podría leer el captcha, pero los robots conseguían romperlos probando palabra tras palabra hasta que alguna coincidía. Actualmente uno de los métodos más prometedores es el BaffleText, que presenta palabras inexistentes además de distorsiones en el fondo de la imagen y degradados.
Para qué sirve un captcha
Un captcha pretende evitar que una máquina suplente nuestra identidad y se introduzca en nuestro correo. Antes de que los captcha comenzasen a ser utilizados, era frecuente que los robots entraran en los correos gratuitos privados, simplemente introduciendo aleatoriamente claves de usuarios y contraseñas hasta dar con las correctas. Una vez dentro utilizaban la cuenta y sus contactos para propagar a discreción todo tipo de información comercial indeseable. Es probable que la mayoría de los usuarios con cuentas de correo gratuitas hayan sido alguna vez spammers involuntarios.
Hace algo más de un año que los captcha comenzaron a ser empleados para acceder a las cuentas de correo y desde entonces han ido popularizándose, apareciendo como requisito para entrar en las más variadas webs, desde páginas privadas de empresas hasta blogs.
Cuándo se recomienda un captcha
- En encuestas online: Son especialmente susceptibles a los robots que, por supuesto, falsean cualquier resultado de manera interesada. De hecho, el grupo de investigadores que los creó es especialista en crear robots para obtener las mejores votaciones en encuestas sobre expertos.
- En cuentas de correo gratuito: La mayoría de empresas que ofrecen correo gratuito son susceptibles al ataque de los robots y sus usuarios son las víctimas más directas; inundados de publicidad comercial de dudosa credibilidad o utilizados como plataforma emisora y escudo. Yahoo! fue la primera empresa en utilizar captcha.
- Para esconder información a los buscadores: Se trata de una aplicación muy reciente y consiste en privar a los buscadores (robots en definitiva) de determinadas informaciones que no se quieren exponer a la vista pública, mediante la interposición de un captcha.
- Contra los gusanos: Se están comenzando a desarrollar sistemas, conocidos como Test Captchatm, para evitar este tipo de virus que se difunde por correo electrónico. El método se basa en responder a la llegada de un e-mail sospechoso con el envío de un captcha a su emisor, que forzosamente debe descifrar para que su mensaje sea aceptado. Es la manera de asegurarse de que hay un humano tras la máquina.
- Para prevenir ataques de diccionarios: Los robots pueden utilizar diccionarios online para generar palabras al azar y así acertar los captcha. El Test Captchatm está siendo utilizado por estos diccionarios para frenar este tipo de intromisiones.
¿Son infalibles los captcha?
Como todo sistema de seguridad los captcha no son infalibles, pero dan mucho trabajo a los que intentan romperlos mediante robots. Aún así, los piratas informáticos han desarrollado algunos trucos para engañar a un captcha. El más popular consiste en utilizar el captcha de un correo gratuito en otro sistema de registro para que un humano lo resuelva.
Para ello, los robots utilizan una web a la que un usuario desee entrar (una web pornográfica generalmente) y que se llama web-anzuelo. Cuando el usuario de esta página inicia el proceso de registro se le impone el captcha del correo gratuito como requisito. Cuando lo resuelve, el robot se lleva el código descifrado a la página de correo gratuito de origen y entra en ella. Esto es, los usuarios del web-anzuelo son usados sin que tengan conocimiento de ello para resolver captchas de otras webs.
Problemas que presentan los captcha
Los captcha son especialmente problemáticos para personas con discapacidades visuales o psíquicas, dado su elevado grado de complejidad. Es frecuente que una persona con una visión defectuosa no los pueda reconocer correctamente, o que un usuario con discapacidades psíquicas no pueda aceptar que está frente a una sucesión de caracteres sin lógica y esto le genere ansiedad o desconcierto. De hecho, si alguna objeción han tenido los captcha desde su reciente llegada ha sido en el campo de la accesibilidad.
También los captcha presentan a veces problemas de legibilidad para el usuario común por su intrincada maraña de distorsiones y degradados. Otras veces es la excesiva ambigüedad de algunos caracteres, como G y 6, o A y 4, la que complica innecesariamente el acceso.
Soluciones a la dificultad de los captcha
El organismo regulador de la red W3C (Wide Word Web Consortium) especificó una serie de posibles soluciones que preserven el acceso de discapacitados a sus correos sin que los captcha pierdan su poder aduanero. Entre las soluciones hay algunas que han generado polémica, como el uso de palabras pseudo lógicas en los que una parte del código sería legible y el resto tendría dificultad de lectura. También cuentas de crédito para validar la identidad del usuario.
La primera genera rechazo porque las máquinas son capaces de deducir la parte ilegible a partir de la legible mediante los registros guardados de otras lecturas. La segunda incluso fue recibida con sorna por algunos expertos, porque la red no es actualmente lo bastante segura como para que el usuario deba escribir con asiduidad sus cuentas corrientes en páginas ajenas.
La solución que más simpatías tiene por el momento es la de utilizar un sistema de voz alternativo, de modo que el usuario con discapacidad visual pudiera reconocer por el oído los sonidos distorsionados y escribirlos en consecuencia.
La alternativa de Gmail
Un método alternativo a los captcha es el que utiliza el correo de Google y consiste en crear una comunidad de usuarios formada exclusivamente por invitados. Se basa en que para obtener una cuenta de correo de Gmail es necesario ser invitado por un usuario ya dado de alta. Este cursa la invitación y el aspirante la recibe vía correo electrónico. Una vez abierto el mensaje, el aspirante se dirige a una página creada para él desde donde puede configurar su nueva cuenta. De este modo se evitaría la intromisión de robots. En algunas ocasiones Gmail también interpone captacha si detecta alguna irregularidad, como por ejemplo que se acceda al correo desde un puerto diferente al habitual.