Llegamos a ustedes gracias a:



Noticias

Investigadores vencen CAPTCHA de sitios web muy conocidos

[03/11/2011] Investigadores de la Universidad de Stanford han desarrollado una herramienta automatizada que puede descifrar con un grado significativo de exactitud las pruebas anti-spam utilizadas por muchos sitios populares.
Los investigadores Elie Bursztein, Matthieu Martin y John C. Mitchel presentaron los resultados de su estudio de CAPTCHA -el cual les tomó año y medio- en la reciente ACM Conference On Computer and Communication Security de Chicago.
Los CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) son desafíos que, se supone, solo los humanos son capaces de resolver. Los sitios web utilizan estas evaluaciones para bloquear a los bots de spam que automatizan los registros de cuentas y el posteo de comentarios.
Existen varios tipos de CAPTCHAs, algunos utilizan audio, otros usan problemas matemáticos, pero las implementaciones más comunes se basan en hacer que los usuarios escriban textos distorsionados. El equipo de Stanford desarrolló varios métodos para limpiar los fondos de las imágenes y desagregar los textos en caracteres individuales que faciliten el reconocimiento, una técnica que se denomina segmentación.
Algunos de sus algoritmos para resolver los CAPTCHA están inspirados en lo que usan los robots para orientarse en varios ambientes, y fueron incorporados en una herramienta automatizada llamada Decaptcha. Esta herramienta fue luego utilizada en los CAPTCHA de 15 sitios web bastante conocidos.
Los resultados revelaron que las pruebas utilizadas por el gateway de pagos Authorize.net de Visa fueron superadas en el 66% de las veces, mientras que las pruebas en el portal World of Warcraft de Blizzard tuvieron una tasa de éxito de 70%.
Otros resultados interesados se registraron en eBay, cuyo CAPTCHA falló en el 43% de las veces, y en Wikipedia, en donde uno de cada cuatro intentos fue exitoso. Tasas más bajas, pero aún significativas, se produjeron en Digg, CNN y Baidu (20%, 16% y 5%, respectivamente).
Los únicos sitios web en donde los CAPTCHA no pudieron ser vencidos fueron Google y reCAPTCHA. Este último es una implementación originalmente desarrollada por la Universidad Carnegie Mellon y comprada por el gigante de las búsquedas de Internet en setiembre del 2009.
Authorize.net y Digg han cambiado a reCAPTCHA desde que estas evaluaciones se han desarrollado, pero no ha quedado claro si los otros sitios web también han realizado cambios. Sin embargo, los investigadores de Stanford dieron varias recomendaciones para mejorar la seguridad de los CAPTCHA.
Estas incluyen hacer aleatoria la longitud del texto, hacer aleatorio el tamaño de las letras, aplicar un efecto tipo ola al resultado y usar líneas en el fondo. Otra conclusión resaltante es que el uso de conjuntos complejos de letras no ofrece mayor seguridad y es malo para la usabilidad del sitio.
Bursztein y su equipo también han tenido en el pasado otros triunfos. En mayo desarrollaron técnicas para resolver exitosamente los CAPTCHAs de audio en los sitios de Microsoft, eBay, Yahoo y Digg y planean continuar mejorando su herramienta Decaptcha.
Lucian Constantin, IDG News Service