Los tests CAPTCHA, conocidos por pedir a los usuarios que identifiquen imágenes como semáforos o coches para demostrar que no son bots, son una de las tareas más molestas en internet. A pesar de ello, la mayoría de las personas acepta su utilidad como barrera para evitar que los bots saturen el tráfico, cometan fraudes o extraigan datos de manera automatizada. Sin embargo, a medida que los bots se vuelven más sofisticados, la efectividad de los CAPTCHA ha disminuido, hasta el punto de que algunas soluciones basadas en inteligencia artificial pueden eludir por completo estos sistemas de seguridad, como es el caso de Google reCAPTCHA v2.
Un grupo de investigadores de ETH Zúrich ha desarrollado un programa de aprendizaje automático que puede resolver los desafíos de reconocimiento de imágenes de Google reCAPTCHA v2 con una precisión perfecta. Aunque estos test tan criticados están quedando obsoletos, aún juegan un papel clave en la seguridad en línea.
La defensa mediante CAPTCHA ha estado inmersa en una especie de «carrera armamentista» contra los bots diseñados para superarlos. Un estudio reciente mostró que los bots ya son capaces de resolver casi todas las variantes de CAPTCHA con mayor rapidez y precisión que los seres humanos, lo que pone en duda la efectividad de una medida creada para diferenciarlos de los humanos.
El método presentado por los investigadores de Zúrich mejora modelos previos de aprendizaje automático, incrementando significativamente la tasa de éxito. Iniciativas de código abierto y estudios anteriores, basados en modelos como You Only Look Once (YOLO), habían conseguido resultados variables. Sin embargo, en este experimento se logró un 100 % de precisión. En un principio, estos modelos podían identificar imágenes de objetos como semáforos o coches, pero tenían dificultades para superar otras medidas de seguridad diseñadas para detectar patrones de actividad humana.
Además de reconocer imágenes, muchos CAPTCHA intentan detectar movimientos del ratón típicos de humanos o analizar las cookies del navegador para distinguir entre bots y personas. Algunos servicios, como Cloudflare, emplean páginas simples que verifican estos signos con una mínima interacción humana. Google, por su parte, utiliza un sistema similar, pero en situaciones específicas recurre a los test de reconocimiento de imágenes de reCAPTCHA v2, lo que lo deja vulnerable ante bots avanzados.
Para alcanzar una precisión perfecta, los investigadores de ETH Zúrich modificaron el modelo YOLOv8 con software adicional capaz de emular movimientos de ratón y simular historiales de navegación. Además, usaron una VPN que cambia dinámicamente las direcciones IP para que los desafíos no identifiquen múltiples intentos de acceso desde la misma ubicación.