Los captchas ya no sirven

Los captchas convencionales ya no sirven para nada, por lo que los foros, blogs, whois y otros servicios protegidos con esta tecnología, serán víctimas fáciles del spam.

Captcha son las siglas de «Completely Automated Public Turing test to tell Computers and Humans Apart» (Prueba de Turing pública y automática para diferenciar máquinas y humanos). Son esas imágenes que tenemos que teclear para acceder a infinidad de servicios en Internet, como foros, comentarios de blogs y periódicos, altas de servicios como gmail, etc.

El término fue acuñado en 2003 por el guatemalteco Luis von Ahn, creador de reCAPTCHA, aunque fue usado por primera vez en Internet por parte del equipo del buscador AltaVista en 1997.

Los captchas tratan de evitar que se pueda abusar de algunos servicios mediante automatizaciones hechas con software como los spambots. Los abusos más típicos que tratan de evitar son:

• Spam de foros y blogs entre otros.
• Alta automatizada en servicios gratuitos.
• Acceso a bases de datos y consultas de todo tipo, por ejemplo las consultas a buscadores para SEO.

Los que proveen los servicios de los que se abusa tienen una guerra abierta contra los que quieren abusar de ellos y las armas son los captchas. Primero se encontraron vulnerabilidades en el diseño de los captchas, después se empezó a usar software de reconocimiento cada vez más avanzado lo que hizo que se hicieran captchas cada vez más difíciles de leer, pero ahora la escalada ha llegado al punto en el que los captchas se han vuelto totalmente ineficaces.

Viendo el interés que había en saltarse los captchas, varias empresas han iniciado servicios para decodificar captchas utilizando un sistema infalible, personas.

Estas empresas tienen personas trabajando por todo el mundo, que se dedican a resolver captchas las 24h del día. Han programado APIs (Interfaz de programación de aplicaciones), para los lenguajes de programación más usados y cobran una pequeña cantidad de dinero por cada captcha resuelto correctamente, actualmente desde $0,004 USD (unos 0,3 céntimos de euro).

No son muy conocidas porque no se hacen mucha publicidad, imagino que por lo impopular que un servicio como este es para todo aquel que tenga un foro, blog, o cualquier servicio protegido con un captcha, pero basta con indagar un poco en algunos foros dedicados a técnicas de promoción (eufemismo de spam), para encontrar a las tres empresa que parecen dedicarse a esto.

Las empresas dedicadas a este servicio son:

1. Antigate (Anti-captcha): antigate.com
2. Death by Captcha: deathbycaptcha.com
3. De-Captcher: de-captcher.com

Aunque la resolución de captchas de por si no es una actividad ilegal, o no debería serlo, está claro que los que usan el servicio si pueden hacer actividades ilegales o al límite de lo legal. Tal vez sea por eso que De-Captcher haya cambiado de dominio y su página no de información de ningún tipo y por lo que anti-captcha haya cambiado también el nombre y dominio a antigate. Además, las tres tienen ocultos los datos de registro del dominio.

Está claro que los que usan estos servicios quieren hacer por la fuerza, lo que los dueños de los sitios web no quieren que hagan. Un caso particular que hemos sufrido es el uso de un conocido y efectivo software para llenar de spam los foros que se llama XRumer, este software de por si ya se salta muchos captchas mediante algoritmos, pero combinado con uno de estos servicios para saltar captchas, se vuelve implacable.

Proteger los foros del spam se ha convertido en la misión más complicada tras detener el spam de los servidores de correo, en el caso de algunos de nuestros clientes con foros de mucho tráfico, recibimos miles de intentos de registro automatizado al mes y detenerlo ha sido cualquier cosa menos fácil.

Una forma de dificultar que rompan los captchas es usar el idioma como barrera. Por lo que he visto las empresas que ofrecen estos servicios tienen dificultades con nuestro idioma, lo que puede aprovecharse para dificultar la resolución de los captchas.

Las personas pueden identificar con más facilidad palabras que letras sueltas, usando esto, se pueden generar captchas que distorsionen mucho las letras, pero usando palabras de nuestro idioma. Eso haría que una persona que no conoce nuestro idioma y tiene que resolver un captcha, tenga mucha más dificultad en conseguirlo. Algunos ejemplos:

Como puede verse, la distorsión es demasiado elevada para adivinar fácilmente las letras sueltas, pero puede identificarse la palabra si se conoce el idioma, las palabras son pastor y lámpara.
En el caso de los foros, otra técnica para evitar el spam es usando la base de datos de spammers conocidos de Stop Forum Spam.

Estos captchas se han generado con Freecap de Pure Mango.

Para evitar que nos salten los captchas usando estos servicios, en el futuro habrá que abordar la dificultad que supone el idioma o de datos culturales o locales para personas que traten de resolver los captchas en otros países, por ejemplo, si el usuario es de España se le pueden hacer preguntas que cualquier español sabría pero que serían difíciles para usuarios de otros países, como…, ¿Qué caja de ahorros con un logotipo de un oso verde forma parte de Bankia? O… ¿Qué famosa tonadillera ha sido acusada de blanqueo de capitales?

Cualquier español sabría elegir la respuesta correcta entre 5 resultados, pero dudo mucho de que alguien en Rusia, China o algún otro país, incluso en los de habla hispana, lo tuviera tan fácil.