Los spammers podrían crear nuevas cuentas de forma más barata.
Un equipo de ingenieros informáticos de la Universidad de Stanford y de la Universidad de Tulane con experiencia en inteligencia artificial, procesamiento de audio y seguridad informática ha creado una manera de acabar de forma automática con los sistemas que evitan a los spammers crear cuentas nuevas en portales como Yahoo, Hotmail, y Twitter.
Muchos portales web requieren que los usuarios transcriban correctamente una cadena de caracteres distorsionados—un rompecabezas conocido como un CAPTCHA—para poder acceder a sus servicios. Estas pruebas son relativamente fáciles para las personas, pero muy complicadas para los ordenadores. La mayoría de los portales también ofrecen los CAPTCHAs en formato de audio, para los usuarios con problemas de visión, y los investigadores determinaron que su algoritmo era capaz de resolver muchos de estos CAPTCHAs de audio. Un equipo de investigadores de la Universidad Carnegie Mellon ya había demostrado con anterioridad, en 2008, la vulnerabilidad de los CAPTCHAs de audio, pero el nuevo trabajo ataca unas versiones más nuevas y seguras del sistema.
La capacidad para descifrar los CAPTCHAs de forma automática podría hacer que fuera más barato para los spammers enviar grandes cantidades de spam. En este momento, los spammers pagan salarios humanos para resolver CAPTCHAs, un trabajo que puede llegar a costar hasta un centavo por imagen.
La líder del equipo, Elie Bursztein, de la Universidad de Stanford, destaca que el algoritmo de su equipo, llamado deCAPTCHA, fue capaz de descifrar los CAPTCHA de audio de Microsoft y Yahoo en casi la mitad de los casos. Desde entonces, Microsoft ha cambiado a otro tipo de CAPTCHA, que el algoritmo todavía es capaz de descifrar en un 1,5 por ciento de los casos.
"[En cuanto al descifrado de medidas de seguridad se refiere], si se cruza el umbral del 1 por ciento, empiezan los problemas de verdad", afirma Burzstein. "Es casi una entrada libre."
Luis Von Ahn, quien acuñó el término CAPTCHA, señala que, en realidad, las empresas pueden controlar la velocidad a la que se superan los CAPTCHAs de audio, limitando el número de ellos que pueden ser resueltos por día, o limitando la cantidad de ellos que pueden ser resueltos por una única dirección IP. Sin embargo, el experto en seguridad Markus Jakobsson afirma, "es muy importante que entendamos cómo pueden fallar las cosas antes de que lo hagan los malos."
Un CAPTCHA de audio lee en voz alta una serie de letras o números una distorsión de audio añadida. El equipo de Stanford ha creado un algoritmo de aprendizaje para "procesar el sonido de una manera que se acercaba lo más posible a la forma en que pensamos que funciona el oído humano", explica Bursztein. Esto significó centrarse en los sonidos de baja frecuencia, los cuales los seres humanos son especialmente buenos en su procesamiento, y la eliminación de la mayor cantidad posible de ruido de los CAPTCHAs de audio.
EL equipo de Bursztein también está trabajando en la creación de varios nuevos tipos de CAPTCHAs de audio. Uno de estos tipos reproduce dos voces diferentes leyendo dos cadenas de letras o palabras diferentes al mismo tiempo. Los seres humanos son especialmente buenos en la determinación de una sola voz cuando están rodeados de muchas conversaciones diferentes en una habitación llena de gente, pero los ordenadores son muy malos en esta tarea. Un segundo tipo combina las palabras con música.
Incluso si muchos CAPTCHAs existentes son vulnerables a los ataques, comenta Jakobsson, su vulnerabilidad no es tan grave como la de un sistema de contraseñas. "[El descifrado de los CAPTCHAs] implica un deterioro gradual de la seguridad. No es necesario mantener a todo el mundo a ralla para sentirte seguro—un cierto grado de fallos de seguridad es tolerable".