Cmara de Valencia- Artculos de Tecnologas de la Informacin por Latencia SL

http://coleccion.camaravalencia.com

Los Captchas: prevencin de los abusos en Internet

Autor: Francisco Monteagudo (Servitec.com)

Tradicionalmente, cuando hablamos del SPAM pensamos en el correo electrnico; sin embargo, las pginas web tambin pueden ser vctimas de este problema. Cmo? Mediante unos programas que se dedican, o bien a crear cuentas de usuario en web que requieren registrarse, o bien a dejar mensajes en foros. Afortunadamente, existe una proteccin muy eficaz contra esta molesta prctica: los CAPTCHAs. Este sistema naci para proteger los servicios web de los usuarios abusivos. Los CAPTCHA ms sencillos consisten en mostrar la imagen de un texto deformado y pedir al visitante que teclee dicho texto en un campo de entrada. Los CAPTCHA son la nica proteccin realmente eficaz para evitar el SPAM en los foros de debate y el uso abusivo de los servicios que requieren suscripcin. La mejor prueba de ello es que los servicios ms populares de la Red los tienen implementados desde hace aos.

Uso y abuso de los servicios de Internet

A finales del pasado siglo empezaron a aparecer empresas de Internet que daban espacio gratuito para alojamiento de pginas web. La primera de este tipo fue Geocities. La mayora daba un espacio bastante limitado lo cual supona un problema para muchos usuarios, cuyas sitios web ocupaban mas espacio del que tenan asignado. La solucin que encontraron estos usuarios fue la de crear varias cuentas de usuario y repartir su web en pginas alojadas entre todas las cuentas. De esta forma podan alojar el web completo a pesar de las limitaciones que les impona el hospedaje. Sin embargo, el proceso de dar de alta las cuentas de usuario era engorroso, as que no pas mucho tiempo antes de que alguien decidiera crear un programa para dar de alta mltiples cuentas de usuario de forma automtica. Sin embargo, la historia no acabo aqu. Pronto la gente descubri que tener mltiples cuentas de usuario era tambin til en otro tipo de prestaciones en Internet como, por ejemplo, las de correo electrnico gratuito (Hotmail, Yahoo). Al igual que los servicios de alojamiento web, los servicios de correo electrnico gratuito ofrecan un espacio bastante

Cmara de Valencia- Artculos de Tecnologas de la Informacin por Latencia SL (http://www.latencia.com)

 Agosto 2004

Los Captchas: prevencin de los abusos en Internet, por Francisco Monteagudo

limitado. Ello hacia imposible el uso de estas cuentas para, por ejemplo, suscribirse a listas de distribucin muy activas. En este caso, disponer de mltiples cuentas permita dedicar cada cuenta a un propsito concreto (por ejemplo, una cuenta correo por cada lista de distribucin a la estuviramos suscritos). Otra utilidad de las cuentas gratuitas era emplearlas como almacenes de correo antiguo. De tal modo que, cuando una cuenta de principal se llenaba, el usuario simplemente reenviaba el correo sobrante a alguna cuenta secundaria en la que dispusiera de espacio libre, y a medida que se le iban llenando, se iba creando cuentas nuevas. No pasara mucho tiempo antes de que se le descubriera una utilidad nueva derivada del hecho de disponer de mltiples cuentas gratuitas de correo electrnico: el Spam. Un spammer que dispusiera de un gran nmero de cuentas de correo en un servidor gratuito poda usar dichas cuentas como remite de sus envios, lo que les permita recoger las respuestas de sus vctimas sin "quemar cuentas reales. Es ms, al tener un gran nmero de cuentas creadas, podan usar una diferente en cada envo, con lo que a los receptores les era intil bloquear las cuentas desde donde se originaba el Spam. En esta sucesin de abusos en la Red los spammers no tardaran en descubrir una nueva frontera: los foros de debate. En estos sitios se rene mucha de gente para intercambiar opiniones sobre determinados temas. Eso los convierte en un blanco perfecto para los mensajes publicitarios, con lo que no tardaron en aparecer programas para spammear foros. Estos programas se conectan a webs donde hay instalado un foro y, siguiendo los pasos que hara un usuario humano, dejan mensajes publicitarios. El grado de refinamiento de estos programas ha llegado a tal extremo que son capaces de utilizar los buscadores (normalmente Google) para localizar pginas web que tengan instalado un servicio de foros. Cmo lo hacen? Muy sencillo, los sistemas de foros son programas y, como tales, incluyen una serie de "firmas (el texto de copyright, etiquetas con nombres especficos, comentarios insertados en el cdigo HTML) que pueden ser detectadas e indexadas por los buscadores. Esto significa que se introduce en un buscador la firma de un determinado programa de foro, el buscador devolver un listado con todas las pginas web que usan dicho programa. A partir de ah slo queda procesar el cdigo HTML que nos devuelve el buscador para extraer la lista de Urls (tarea que tambin realiza habitualmente el propio programa de Spam). De todas formas, los spammers no son los nicos que abusan de los servicios de la red; tambin los webmasters maliciosos pueden aprovecharse de los servicios de terceros. Vamos a explicar lo anterior con un ejemplo. Supongamos que usted, lector o lectora, tiene un web desde donde ofrece cotizaciones de bolsa. Un competidor podra hacer un programa que se conectara a sus pginas, extrajera la informacin, y la presentara en su web como propia.

Cmara de Valencia- Artculos de Tecnologas de la Informacin por Latencia SL (http://www.latencia.com)

 Agosto 2004

Los Captchas: prevencin de los abusos en Internet, por Francisco Monteagudo

Haciendo frente a los abusos

Para evitar abusos como los anteriores, en el aos 2000, la universidad de Carnige Mellon (http://www.cmu.edu/) se puso a trabajar en una solucin a este problema. Como resultado su equipo fue el que invent los CAPTCHA (http://www.captcha.net), que son las siglas de "Completely Automated Public Turing Test to Tell Computers and Humans Apart, palabras inglesas que traducidas al espaol significan: "Test pblico de Turing completamente automatizado para mantener separados los ordenadores y las personas. La idea de la que partieron es sumamente simple: incluir en una pgina web un test que un programa no sea capaz de solucionar, que solo lo pueda pasar un ser humano. La idea original de crear este tipo de tests la plante Alan Turing, de ah que su nombre aparezca en la definicin de CAPTCHA. Su objetivo era poner a prueba los programas de inteligencia artificial, para determinar si eran realmente inteligentes. Los tipos de test que se puede plantear son muy variados, desde mostrar una imagen y pedirle al usuario que proporcione algn dato sobre la misma, hasta proponer una adivinanza que el usuario deber resolver. Evidentemente, cuanto ms complejo es el problema planteado, menos probabilidades hay de que un programa lo pueda solucionar, pero tambin hay mas probabilidades de que un humano falle. Es decir, que a la hora de disear un CAPTCHA hay que pensar en un tipo de problema que informticamente sea imposible, o prcticamente imposible de solucionar, pero que para un ser humano resulte trivial.

Tipos de CAPTCHAs
Actualmente, existen los siguientes tipos de CAPTCHA:

Cmara de Valencia- Artculos de Tecnologas de la Informacin por Latencia SL (http://www.latencia.com)

 Agosto 2004

Los Captchas: prevencin de los abusos en Internet, por Francisco Monteagudo

1.-Lectura de texto simple: Consiste en mostrar la imagen de un texto o una serie de nmeros, adecuadamente deformada, para que un OCR no pueda leerla, y se pide al usuario que teclee dicha serie en un campo de entrada de datos. Actualmente, este es el nico tipo que se usa de forma masiva, porque es el ms sencillo tanto de programar como de resolver (resolver por parte de un humano, se entiende). El mayor problema de este tipo de CAPTCHA es que en unos aos ser posible romperlos. Actualmente, diversos equipos de investigadores han anunciado que han desarrollado programas que son capaces de leer estos CAPTCHAs. De todas formas, las tecnologas que utilizan son computacionalmente muy costosas (es decir, se necesitara una batera de ordenadores muy potentes para poder hacer spam de forma efectiva), por lo que, a corto plazo, es poco probable que se incorporen a los programas para spammers.

2.-Lectura de texto compleja: Se trata de una variante del anterior. En esta ocasin la imagen muestra varios textos, que adems de deformados estn superpuestos entre si, y el usuario debe identificarlos y teclearlos todos. Esta tcnica tambin puede romperse utilizando los mismos procedimientos que en el caso ya visto, pero hacerlo requiere de una capacidad informtica muchsimo mayor que la del punto 1, por lo que a un spammer le resultara antieconmico romperla. 3.-Reconocimiento de audio: Es como los anteriores, pero el texto, en lugar de mostrarse en pantalla, se recita por el altavoz del ordenador. Actualmente la tecnologa de reconocimiento de audio esta muy avanzada, de modo que, aunque no hay noticias de que se haya logrado romper este CAPTCHA, es de suponer que lograr en los prximos aos. 4.-Completar una serie lgica: Este es tambin un CAPTCHA visual, pero en esta ocasin la imagen muestra una serie lgica (como las que salen en muchos tests de aptitud o en las pginas de pasatiempos de los diarios), y el usuario debe completarla. Su gran ventaja es que, para romperlo, no basta con identificar los objetos que aparecen en la imagen, es preciso adems comprender su contenido. Esto significa que se tardar muchos aos en desarrollar programas capaces de

Cmara de Valencia- Artculos de Tecnologas de la Informacin por Latencia SL (http://www.latencia.com)

 Agosto 2004

Los Captchas: prevencin de los abusos en Internet, por Francisco Monteagudo

romperlos; el inconveniente, es que resultan muy complejos de programar. Para que este CAPTCHA sea efectivo es preciso hacer un programa que sea capaz de generar una gran cantidad de series lgicas diferentes, algo que es bastante ms difcil de lo que puede parecer a primera vista. 5.- Imgenes mltiples: Se muestran al usuario varias fotografas, y l debe buscar un objeto que esta presente en todas ellas, pero presente bajo diferentes formas. Por ejemplo, se muestran al usuario cinco fotos de paisajes en las que, como elemento comn, aparece un avin; pero en una foto se trata de un avin a hlice visto de frente, en otra es el morro de uno de pasajeros.... Este tipo de CAPTCHA es tan extraordinariamente eficaz que incluso a un ser humano le resulta complicado solucionarlo, por lo que es poco probable que se empiecen a utilizar antes de que los que son ms simples hayan conseguido romperse.

Conclusiones Finales
El problema del SPAM ha alcanzado unos niveles de gravedad y generalizacin que resulta obligado tomar medidas; en este sentido los CAPTCHA son la nica proteccin realmente eficaz para evitar el SPAM en los foros de debate y el uso abusivo de los servicios que requieren suscripcin. La mejor prueba de ello es que los servicios ms populares de la Red los tienen implementados desde hace aos. De hecho, las aplicaciones ms populares, como pueda ser el programa de foros phpBB (http//:www.phpbb.com) o el generador de portales phpnuke (http://www.phpnuke.org) ya incluyen la validacin por CAPTCHA en sus formularios.

Cmara de Valencia- Artculos de Tecnologas de la Informacin por Latencia SL (http://www.latencia.com)

 Agosto 2004

Los Captchas: prevencin de los abusos en Internet, por Francisco Monteagudo

Todas estas aplicaciones utilizan el sistema de lectura de texto simple, ya que aunque se sabe que es posible romperlo, todava no se han desarrollado programas capaces de hacerlo, por lo que sigue siendo un procedimiento seguro.

El SPAM ha dejado de ser un problema exclusivo del correo electrnico, y se ha propagando tambin a los foros de debate de las pginas web. Los CAPTCHA nacieron para proteger los servicios web de los usuarios abusivos. Los CAPTCHA ms sencillos consisten en mostrar la imagen de un texto deformado y pedir al visitante que teclee dicho texto en un campo de entrada. La forma ms sencilla de CAPTCHA es tambin la mas utilizada. Aunque se sabe que es posible romper los CAPTCHA mas sencillos, los spammers aun no han logrado hacerlo. Existen formas de CAPTCHA ms complejas, que no ser posible romper en muchos aos.

Francisco Monteagudo (Servitec SL) Barcelona (Espaa), Agosto de 2004

Cmara de Valencia- Artculos de Tecnologas de la Informacin por Latencia SL (http://www.latencia.com)