Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Captcha. Qué es, para qué sirve, tipos y ejemplos

¿Quién no se ha topado con algún captcha cuando ha querido suscribirse o iniciar sesión en una página web o red social? Esta herramienta lleva presente en internet varios años, cuenta con diferentes tipos y ha generado algún que otro problema. En este artículo explicaremos qué es el captcha, para qué sirve, así como los principales tipos de captcha que se suelen emplear.

¿Qué es un captcha?

Para saber qué es un captcha, comencemos por aclarar qué significa captcha: prueba de Turing pública completamente automatizada para distinguir computadoras y seres humanos (que es más o menos la traducción del inglés de estas siglas). Es decir, un captcha es una prueba automatizada que sirve para determinar si el usuario que intenta acceder a una web o servicio es una persona real o un robot o bot.

Por lo tanto, el captcha es una prueba de verificación, que se creó en la Universidad Carnegie Mellon en el año 2000 para ayudar a los sitios web a protegerse de los bots spammers. Esto se logra, sin entrar en tecnicismos, estirando o manipulando letras y números o proponiendo determinados puzles o rompecabezas, que los bots tienen dificultades para resolver (aunque con el desarrollo de la Inteligencia Artificial, esto puede cambiar).

¿Para qué sirven los captcha?

Como ya hemos señalado, los captcha sirven para diferenciar entre humanos y bots y se emplean, por tanto, para proteger los sitios web contra el spam en comentarios, los usuarios falsos o la creación de varias cuentas por bots, prevenir comentarios falsos, proteger las compras o evitar ataques DDoS.

¿Cómo y dónde se utilizan?

El captcha se utiliza cuando un sitio web quiere verificar si el usuario que se registra es una persona real o un bot, para protegerse de las acciones que hemos visto en el punto anterior.

Así, podemos encontrar captchas en formularios de suscripción o registro, como los empleados en cuentas de correo, para evitar el empleo de bots para crear cuentas de correo no deseado, en redes sociales, páginas y blogs para evitar mensajes o comentarios spam (no evita el acoso cibernético, pero contribuye a evitar que los bots propaguen mensajes automáticamente), en sitios de venta online, etc. En definitiva, se recurre al captcha en cualquier sitio online que quiera comprobar si detrás de la cuenta de correo hay un usuario real o un bot.

Tipos de captcha

Existen diferentes tipos de código captcha, pero todos ellos deben satisfacer tres requisitos principales:

  • Ser fácilmente accesible para los humanos
  • Difícil de pasar para los bots
  • Fácil de crear y calificar para una máquina de prueba

Todos los tipos de captcha que vamos a ver a continuación, se basan en la capacidad de identificar y descubrir señales visuales, de audio y/o texto, que serían extremadamente difíciles de imitar en los bots.

Textuales

Los captcha de texto varían en diferentes formas, pero todas vienen con dos partes simples: un cuadro de texto y una secuencia de letras o números. Para demostrar tu identidad humana, es importante seguir cuidadosamente las instrucciones de la prueba.

La prueba puede pedirte que vuelvas a escribir la secuencia desordenada de letras, ingreses la última palabra entre varias o respondas el color en el que se muestran las palabras.

Este tipo de prueba ofrece una gran opción para los usuarios que tienen discapacidad visual y tienen problemas con otros tipos de captcha. El principal inconveniente es que esta forma de captcha se resuelve fácilmente mediante bots que se están volviendo más inteligentes.

Captcha con cálculos matemáticos

Es posible que hayas visto este tipo de captcha regularmente. Aparece un formulario captcha con un problema matemático, que requiere que resuelvas e ingreses la respuesta. Las preguntas que son bastante simples, como “1 + 2”, “8-3” pueden ser difíciles de resolver para un robot.

El problema matemático es muy sencillo para los usuarios para que puedan completarlo rápidamente y mover sus tareas sin mucha molestia. Sin embargo, esta sencilla prueba no puede garantizar la seguridad de un sitio web porque no es tan complicado como algunos de los otros tipos de captchas.

Captcha con juegos de palabras

Otro tipo de captcha es aquel en el que se proporciona una palabra al usuario, pidiéndole que la escriba de nuevo. O se le dan una serie de palabras y se le indica que debe repetir la última. También puede mostrarse un color y solicitar al usuario que escriba su nombre.

La finalidad de este tipo de captchas es que el bot no entienda las instrucciones. Pero en la actualidad cada vez es más sencillo para los bots resolver estas pruebas.

Preguntas lógicas

Otra variante la constituyen los captchas que utilizan tareas de lógica o preguntas de cultura general, normalmente relacionadas con el tema de la aplicación web en cuestión.

Las preguntas lógicas o que presuponen ciertos conocimientos pueden parecer sencillas, pero ante ellas los bots clásicos a menudo se ven superados porque aún no tienen la capacidad de establecer conexiones de este tipo. Así, algunas preguntas podrían ser:

  • ¿De qué color es el caballo blanco de Santiago?
  • ¿En qué ciudad está un determinado monumento?

Muchas veces, los captchas de este tipo son programados de forma que aceptan distintas variaciones, por ejemplo, en mayúsculas o minúsculas.

De redes sociales

Cuando te registras en un sitio web, la alternativa de ingresar tu información privada es usar tu cuenta social.

En vez de solicitar a los usuarios que creen sus propios nombres de usuario y contraseñas, el propietario de la web puede aceptar que estos utilicen una cuenta de Gmail o Facebook con unos simples clics. Esto impedirá que los bots se registren, ya que no tienen cuentas de redes sociales.

Este tipo de captcha ahorra tiempo a los usuarios y aumenta la seguridad del sitio. Los usuarios pueden hacer uso de una cuenta de redes sociales sin perder tiempo rellenando el formulario de inicio de sesión. El lado negativo es que algunos usuarios pueden dudar en vincular sus sitios sociales con un sitio totalmente nuevo, lo que podría ser desagradable.

Con límite de tiempo

Registrar la cantidad de tiempo que los usuarios pasan para completar el formulario es otro tipo efectivo de captcha.

Los bots tienden a completar el formulario de inmediato, mientras que los humanos tardarán un poco en ingresar la información requerida. Sin embargo, algunos usuarios se frustran fácilmente cuando pierden el tiempo llenando muchos formularios cada vez que comentan o realizan una tarea.

Captcha visuales

Los captcha de identificación de imagen ofrecen diferentes formas de prueba de imagen, desde nombrar imágenes, distinguir imágenes de un conjunto de imágenes, hasta identificar una imagen extraña fuera del conjunto. Este tipo de captcha aprovecha al máximo las debilidades de visión de los bots para resolver problemas relacionados con la imagen.

Con este tipo de captcha, los usuarios no necesitan leer ningún texto, solo reconocen un objeto o una idea de las imágenes. En algunos casos, elegir un objeto de muchas imágenes dadas puede llevar mucho tiempo y los usuarios pueden tener que lidiar con más de una prueba si la primera falla.

Con campos ocultos

Con este captcha se crean un montón de campos ocultos en la página web para engañar a los bots. Los bots están programados para completar todos los campos que encuentran, incluso los invisibles. Cada vez que los bots lo completan, el sitio web puede reconocer instantáneamente que no es un verdadero usuario humano.

La ventaja sobresaliente de esta gran trampa es que los usuarios no se ven interrumpidos por ningún juego de captcha molesto o por pasar tiempo ingresando mucha información innecesaria. Lo más probable es que ni siquiera conozcan la apariencia de un captcha honeypot u obtengan interacciones cuando visiten un sitio web.

A veces, existe la posibilidad de que los robots inteligentes detecten fácilmente este truco y crucen los campos ocultos sin ningún esfuerzo.

Auditivos

Los métodos gráficos suelen ir acompañados de los denominados captchas de audio o captchas auditivos. Para ello, a menudo se implementa un botón con el cual el usuario puede alternar a la versión sonora de una secuencia de cifras que a continuación puede escribir en el campo para la respuesta.

Para garantizar un alto grado de usabilidad, la grabación debe ser comprensible y adaptada al idioma del usuario, algo que, aunque lógico a simple vista, no siempre sucede.

Lúdicos

Estos captchas se conocen también como captcha seguro y es un método basado en imágenes. Proporciona una selección de imágenes con instrucciones. Por ejemplo, los usuarios son guiados “haga clic en cada imagen que tenga un automóvil”. A diferencia de otros tipos de captcha, el propietario de la web puede monetizar y usar esta publicidad de captcha, que puede generar ingresos.

Confident reCAPTCHA tiene una tasa de éxito del 96%, pero los usuarios que no realizan la tarea correctamente la primera vez tienen que intentar nuevamente con una imagen diferente, lo que puede desanimarlos.

Ejemplos de captcha

A continuación os dejamos unos ejemplos de captcha con los que seguramente os habéis cruzado alguna vez:

Captchas de texto:

captcha

captcha

Captcha visual:

captcha

Diferencias entre captcha vs reCaptcha

Seguramente que aparte de haber oído hablar de captcha, también os suena el término reCaptcha, pero ¿cuál es la diferencia entre captcha y reCaptcha?

Básicamente, que reCaptcha es la evolución del captcha, ya que ahora permite verificar que el usuario es humano simplemente pulsando un botón, para lo que se emplean algoritmos internos y se examinan ciertas pistas no escritas de los usuarios (como puede ser la IP, las cookies o hasta el movimiento del ratón).

El reCaptcha, que es un servicio gratuito gestionado actualmente por Google, permite que este proceso de verificación de humanos y bots sea más rápido y menos cansado para el usuario.

Así es como se ve un reCaptcha:

captcha

Problemas de accesibilidad por culpa de los captcha

Aunque los captcha resultan útiles para proteger los sitios online de la proliferación de bots, lo cierto es que algunos de ellos pueden representar problemas de accesibilidad para determinados usuarios. Para solventar estos inconvenientes, los captcha no pueden basarse únicamente en la lectura de texto o la elección de imágenes. Es importante que los usuarios tengan la oportunidad de optar por un captcha de audio si es necesario.

Otras críticas a los captcha

Por un lado, aunque se supone que el nuevo sistema de Google es bastante efectivo contra los bots automatizados, algunos piratas informáticos todavía creen que pueden organizar un ataque con una tasa de éxito respetable. Incluso si no pueden hacerlo en este momento, tarde o temprano encontrarán una manera de engañar al sistema de reconocimiento de bots de Google, y los expertos deberán trabajar duro para mantenerse un paso adelante.

Hay más. Como ya mencionamos, algunas personas piensan que trabajar en torno a las pruebas captcha es crucial para el éxito de su negocio, y efectivamente, hay organizaciones que están dispuestas a atenderlos. Varios servicios innovadores de captcha están a solo una búsqueda de Google, y algunos de ellos basan sus herramientas en la tecnología OCR, mientras que otros, según los informes, pagan a personas reales cantidades lamentablemente pequeñas de dinero a cambio de pruebas captcha resueltas.

Por supuesto, también existe el hecho de que, si bien puede ser una solución a bastantes problemas, no es una panacea. En un ataque de fuerza bruta fuera de línea, por ejemplo, no va a hacer mucho.

Entonces, captcha no es perfecto. Sin embargo, es bastante bueno en lo que está diseñado para hacer, y aunque a menudo significa que necesitamos pasar un poco más de tiempo completando una tarea en particular, no debemos subestimar su importancia.