CAPTCHA están rotos

0
6

Detente. Piense en la última vez que intentó iniciar sesión en un sitio web.

¿Hiciste clic en esa casilla de verificación? ¿El que dice No soy un robot? ¿De verdad te sentiste como un robot mientras hacías clic en él?

Quizás no tuviste que hacer clic en nada en absoluto. Tal vez el código simplemente miró la vibración del mouse, su historial de IP, sus cookies y le permitió deslizarse porque supuso que era real. Pero a veces aparece la cuadrícula. Cuadrados granulados. Semáforo. Pasos de peatones. Motocicletas.

Identifícalos. Hazlo ahora. O estás prohibido.

CAPTCHA significa Prueba de Turing pública completamente automatizada para diferenciar computadoras y humanos. Un bocado. El nombre implica una simple promesa. Estas tareas son fáciles para los humanos. Difícil para los robots. Por tanto, el spam se detiene. Se detienen las apropiaciones de cuentas. El sitio se mantiene seguro.

Funcionó una vez. A finales de los 90. Cuando leer texto distorsionado era un rompecabezas que las máquinas no podían descifrar.

Andreas Plesner, de ETH Zurich, lo calificó como un problema simple envuelto en un caparazón difícil. Si no puedo tocarte. Si no tengo interacción física con la otra parte. ¿Es una persona? ¿O código?

Las primeras versiones se basaban en palabras deformadas. El software de reconocimiento de texto era entonces torpe. Tropezó con la curvatura y el ruido. Entonces agregamos más curvatura. Lo empeoramos.

Luego Google compró la tecnología. Alrededor de 2009 más o menos. La prueba cambió. Del texto a las imágenes. reCAPTCHA eliminó mosaicos de Street View. Identificar las señales de alto. Identificar las bicicletas.

Ng Chong, director de TI en la Universidad de las Naciones Unidas en Tokio, lo expresó claramente.

“La apuesta era que reconocer objetos en fotografías desordenadas del mundo real era una habilidad exclusivamente humana”

Fue una buena apuesta. En el momento. Los humanos son buenos para detectar cosas en el ruido. Los robots no lo eran.

Pero luego vino reCAPTCHA v2. La era de las casillas de verificación. Debajo del rompecabezas de imágenes se encuentra una capa de análisis del comportamiento. Observa cómo te mueves. La velocidad. El tiempo de desplazamiento. La velocidad del clic. Juzga tu humanidad antes de pedirte que detectes un semáforo. Si pareces sospechoso. Aparece la cuadrícula.

La sospecha es subjetiva. Entonces lo automatizaron.

Entonces la IA se despertó.

Los modelos de aprendizaje profundo de bajo costo superaron la barrera de la tasa de éxito del 70 por ciento allá por 2016. Hace apenas seis años. Una computadora portátil podría hacer lo que un humano podría hacer.

Para 2024, el equipo de Plesner construyó un modelo de IA. Resolvió correctamente los acertijos reCAPTCHA. Cada vez. Cien por ciento de precisión.

¿Y Chong? Creó una herramienta a principios de 2026 que imitaba tan bien los patrones de navegación humana que omitía por completo la cuadrícula de imágenes. A veces la casilla de verificación permanecía vacía. No se necesitan rompecabezas. Sólo comportamiento falso. Cuando apareció la cuadrícula, su IA la borró en algunos intentos.

¿Y ahora qué?

Cuando fallan tanto la capa de comportamiento como el rompecabezas de imágenes. Cuando una computadora portátil básica en su escritorio descifra el código. La premisa se evapora. La suposición de que los humanos pueden hacer lo que las máquinas no pueden hacer deja de ser cierta.

¿Están obsoletos entonces?

No exactamente.

Plesner notó una laguna jurídica. El modelo resolvió el rompecabezas. No venció a las defensas de fondo. Su equipo tuvo que usar VPN. Cambiar direcciones IP con cada prueba. Porque una IP que llega a un motor CAPTCHA activa repetidamente bloques de mayor dificultad. Prohibiciones totales.

El juego moderno ya no se trata de imágenes. Se trata de las sombras. Los metadatos.

reCAPTCHA v3 CAPTCHA amigable hCAPTCHA Torniquete Cloudflare. No hacen preguntas. Ellos simplemente miran. ¿Se ejecuta desde un dispositivo certificado? Una auténtica pieza de hardware. ¿O un guión sin cabeza? ¿Su IP ha afectado al servidor antes? ¿Cuál es su historial de cookies?

Es una auditoría silenciosa. Sin fricción con el usuario. Si puntúas bien. Entras.

Pero las grillas permanecen.

Son baratos. Fácil de implementar. Un legado de décadas. El status quo persiste porque cambiar las cosas es difícil. Chong afirma que sigue siendo rentable para muchos.

Hay una desventaja. Aparte de los robots.

Los humanos los odian. Y no sólo porque resulta molesto distinguir los pasos de peatones. Es excluyente. Las personas con discapacidad visual tienen dificultades con las pruebas basadas en imágenes. Crea barreras donde no deberían existir.

Un investigador señaló esto en 2022. Construimos un guardián que perjudica a las personas a las que intenta proteger.

Neal Agarwal satirizó esta frustración con un juego gratuito. “No soy un robot”. Parodia la escalada. Etapa uno. Simple. Décima etapa. Absurdo. Ganas puntos al fallar la lógica. Resolviendo acertijos que requieren más matemáticas de nivel de doctorado que las que requiere la seguridad web.

Si el CAPTCHA exige una tesis doctoral para aprobar. ¿Quién utiliza Internet?

No queremos que la web sea exclusiva. No queremos demostrar nuestra pertenencia a la especie todos los martes a las 4 p.m.

Entonces la solución no son acertijos más difíciles.

Quizás la solución sea dejarlo ir. O construir un tipo diferente de prueba. Uno que no requiera que demuestres que no eres una máquina. Uno que asume que eres real. Salvo prueba en contrario.

Las máquinas se están poniendo al día. Rápido. Las tortugas y los halcones se confunden en el cuadrado granulado.

¿Puedes diferenciarlos?