La inteligencia artificial aprende a enga?ar a los ¡®captcha¡¯
Las m¨¢quinas consiguen superar las barreras para evitar el acceso automatizado a las webs
La era de los captcha textuales, esas secuencias de caracteres que los humanos debemos reconocer para demostrar que no somos m¨¢quinas, ha llegado a su ocaso. Una reciente investigaci¨®n, cofinanciada por China y Reino Unido, demuestra que variantes de esta medida de seguridad a¨²n masivamente difundidas en Internet han quedado obsoletas. El estudio presenta un sistema de inteligencia artificial capaz de atacar algunas de las webs m¨¢s populares del mundo, como Wikipedia, Microsoft o eBay, gracias a la habilidad de poder resolver f¨¢cilmente los?captcha de texto que utilizan muchas de ellas. Los autores plantean la necesidad de redise?ar estas pruebas y desarrollar sistemas m¨¢s id¨®neos y modernizados para evitar ataques de hackers y bots a las webs.
Ya han pasado casi 20 a?os desde que cuatro investigadores instalados en EE UU empezaron a preocuparse por c¨®mo diferenciar entre seres humanos y m¨¢quinas a la hora de garantizar la seguridad de las webs. As¨ª fue c¨®mo llegaron a desarrollar y difundir los primeros sistemas?captcha (acr¨®nimo de una expresi¨®n ingl¨¦s que significa ¡°test de Turing completamente autom¨¢tico y p¨²blico para diferenciar ordenadores de humanos¡±). En los a?os siguientes, ha sido toda una carrera entre intentos de desarrollo de ciberataques capaces de sortearlas sin habilidades humanas y evoluci¨®n de contramedidas necesarias para incrementar su eficacia. Los captcha todav¨ªa son largamente utilizados, pero les cuesta aguantar el ritmo de crecimiento incesante de la inteligencia artificial.
Muchos sistemas de reconocimiento artificial de los?captcha funcionan a partir de pruebas reales ya resueltas por humanos. ¡°Los sistemas de ataque anteriores requer¨ªan que se recogieran y etiquetaran previamente millones de captcha¡±, explica Zheng Wang, investigador de la Universidad de Lancaster (Reino Unido) y coautor del estudio. En cambio, el tipo de ataque que proponen ¨¦l y sus compa?eros aprovecha de los ¨²ltimos avances de las t¨¦cnica de machine learning para reducir la necesidad de intervenci¨®n humana, seg¨²n mantienen. ¡°Nuestro ataque tan solo necesita 500?captcha resueltos humanamente¡±, asegura Wang.
Para conseguirlo, su modelo se basa en un sistema llamado Generative Adversarial Network (GAN), dotado tanto de una red de creaci¨®n de ejemplos artificiales como de una capaz de distinguir entre estos y los ejemplos reales. Aplicada a los captcha, esta arquitectura puede generar r¨¢pidamente copias de las secuencias textuales reales, comparar los dos tipos, afinar la fidelidad de las copias hasta que ya no se puedan distinguir de los originales, eliminar los elementos de distorsi¨®n utilizados para impedir a las m¨¢quinas el reconocimiento de los caracteres (como sobreposiciones, l¨ªneas oclusivas o letras y n¨²meros m¨¢s amplios o huecos) y entrenarse para aprender a resolver con una precisi¨®n cada vez m¨¢s alta las nuevas secuencias detectadas.
El hecho de no necesitar una base amplia de?captcha resueltos por humanos es un factor de eficacia clave, aseguran los autores. ¡°Si consideramos que a un humano reconocer un?captcha le va a llevar unos 30 segundos, calculamos que los ataques desarrollados anteriormente necesitar¨ªan de unos 12 meses de trabajo para recoger todos los datos previos, mientras que el nuestro solo requiere unas cuatro horas¡±, asegura Wang. Este inmenso ahorro de tiempo logrado por la inteligencia artificial permite romper estas barreras de manera ¡°barata¡±, agrega.
Porcentajes de ¨¦xito
En el estudio, ¨¦l y sus compa?eros prueban la eficacia del sistema en 33 esquemas de?captcha textuales. De ellos, 11 se utilizan en 32 de las 50 webs m¨¢s populares del mundo seg¨²n el ranking de abril 2018 de Alexa.com, filial de Amazon especializada en estad¨ªsticas sobre tr¨¢fico en Internet. Entre las p¨¢ginas consideradas, est¨¢n webs como Wikipedia, Microsoft, Google, la plataforma de pagos online china Alipay o Baidu, el principal buscador del pa¨ªs asi¨¢tico.
El porcentaje de ¨¦xito en la resoluci¨®n de los?captcha puede superar el 85%, como en el caso de eBay, o alcanzar casi un 70%, como ocurre con Microsoft. Entre los sistemas de defensa m¨¢s seguros, en cambio, se encuentran los de Baidu (6% de ¨¦xito) y Google (3%). En todos estos ejemplos, el tiempo de resoluci¨®n de un CAPTCHA es de pocos milisegundos. Para la mayor¨ªa de los esquemas analizados, este m¨¦todo resulta mucho m¨¢s eficaz que ataques ?propuestos anteriormente (por ejemplo, resuelve un 78% de las secuencias de seguridad de Wikipedia, mientras que los modelos anteriores no llegaban a un 30%).
¡°Mostramos, de hecho, que todos los esquemas basados en?captcha textuales utilizados por las p¨¢ginas webs m¨¢s visitadas son vulnerables a nuestro ataque¡±, concluye Wang. ¡°Esto ocurre porque somos capaces de romper los esquemas que utilizan¡±, agrega. El resultado final es una invitaci¨®n a plantearse alternativas de seguridad para seguir protegi¨¦ndolas de la exposici¨®n a ciberataques. ¡°Nuestro trabajo sugiere que la primera barrera de defensa de muchas p¨¢ginas web ya no es fiable¡±, mantiene Wang.
Entender las amenazas y buscar nuevas barreras
La amenaza principal debida a la ineficacia de los?captcha es que ¡°los cibercriminales utilicen los servicios ofrecidos por una web de forma autom¨¢tica¡±, sostiene Guillermo Suarez-Tangil, del King¡¯s College de Londres. Uno de los ejemplos m¨¢s comunes, seg¨²n mantiene, es la difusi¨®n viral por parte de bots de bulos en distintas redes sociales. Otro posible riesgo es que los atacantes consigan acceder a cuentas de correos ya existentes para as¨ª enviar masivamente spam. ¡°Superar estos mecanismos de seguridad tambi¨¦n podr¨ªa permitir a los adversarios robar datos personales o hasta falsificar identidades¡±, agrega por su parte Wang.
En la red, explica Suarez-Tangil, ¡°los atacantes parten de la ventaja de necesitar tener ¨¦xito solo una ¨²nica vez para poder atacar un sistema¡±. Por el otro lado, ¡°los sistemas de defensa tienen que estar preparados para bloquear todo tipo de ataques. Basta con que fallen una vez, para que el resto de medidas de seguridad sean in¨²tiles, por muy avanzadas que sean¡±, contrasta. Por eso, asegura que trabajos como este permiten evidenciar a qu¨¦ riesgos estamos expuestos. ¡°Por cada art¨ªculo que describe un problema, salen varios m¨¢s que proponen contramedidas¡±, agrega.
Pruebas m¨¢s complejas para neutralizar a los 'hackers'
Guillermo Su¨¢rez-Tangil, del King's College of London, recuerda que no existen solo captchas de tipo textual, sino tambi¨¦n otros "m¨¢s dif¨ªciles de romper, como los basados en v¨ªdeos, en conceptos m¨¢s abstractos o en confianza". Entre estos ejemplos, detalla, est¨¢n las ¨²ltimas versiones de recaptcha, desarrolladas por Google, que indican c¨®mo de fiable es una conexi¨®n. "A conexiones menos fiables se les reta con pruebas m¨¢s complejas", explica.
Otra medida ¨²til para incrementar la seguridad de una web, en su opini¨®n, es "habilitar sistemas de verificaci¨®n de dos pasos". Tambi¨¦n asegura que el coste para desarrollar un sistema anticaptcha vale m¨¢s dinero que mejorar los servicios ofrecidos por plataformas como recaptcha, que adem¨¢s suelen ser gratuitos.
En el estudio que Zheng Wang firma como coautor, financiado por entidades cient¨ªficas p¨²blicas dependientes de los Gobiernos de China y Reino Unido y por la asociaci¨®n cient¨ªfica brit¨¢nica Royal Society, se asegura que el sistema de ataque mostrado podr¨ªa extenderse con facilidad a captchas textuales con n¨²mero de caracteres variable o de dos o m¨¢s palabras y, con un ulterior desarrollo de su arquitectura, tambi¨¦n a los de im¨¢genes o v¨ªdeos.
Aunque alerta de que para muchas p¨¢ginas desarrollar un sistema de defensa m¨¢s potente podr¨ªa no ser ¡°un problema banal¡±, Wang considera que una medida alternativa posible es la de crear mecanismos que se basan en factores m¨²ltiples, como informaci¨®n biom¨¦trica o la localizaci¨®n de los dispositivos y los horarios de conexi¨®n. Datos de este tipo podr¨ªan permitir bloquear intentos de acceso con la clave de un usuario desde ubicaciones y en franjas horarias sospechosas, pone como ejemplo.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
