Este pasado fin de semana hablamos, en nuestra colaboración habitual con RNE en Cruce de Cables, sobre la evolución de los CATPCHAs, esas «pruebas de humanidad» que se han ido complicando cada vez más pero que están a punto de desaparecer.
El audio está aquí:
- La evolución de los CAPTCHAs [a partir del minuto 16:45].
Durante casi dos décadas los CAPTCHA (abreviatura de Completely Automated Public Turing test to tell Computers and Humans Apart = «Prueba de Turing completamente automática para diferenciar humanos y ordenadores») distinguieron entre humanos y máquinas en Internet. La idea era evitar abusos mediante bots que rellenaban formularios, creaban cuentas falsas o inundaban los foros de spam.
La primera versión experimental surgió en 1997 en Altavista; luego Gausebeck y Levchin implementaron algo similar en 2001 en Paypal, donde se popularizó; el concepto académico se acuñó en 2003.
Originalmente eran pruebas que obligaban a reconocer semáforos, pasos de peatones o bicicletas y sirvieron para cubrir el expediente. Hoy en día, sin embargo, las inteligencias artificiales reconocen imágenes, textos y patrones mejor que nosotros. Según diversos estudios académicos los sistemas de visión artificial superan el 90% de acierto en tareas donde las personas apenas alcanzan el 80% (!)
La IA se ha vuelto tan potente que ha dejado obsoletos aquellos viejos puzzles visuales. Los bots ya no solo pueden resolverlos, sino que lo hacen más rápido y con menos errores. En cambio, los humanos se impacientan, fallan varias veces y abandonan formularios o carritos de compra, lo que se traduce en pérdidas directas para las empresas.
Entre los tests icónicos pasados de moda están:
- Texto distorsionado que había que descifrar entre ruido digital.
- Imágenes de calles en baja resolución para identificar objetos: farolas, bicicletas, coches, señales de tráfico, puentes, autobuses.
- Piezas que debían rotarse hasta encajar, llaves que abrían cerraduras, u operaciones aritméticas sencillas supuestamente sólo para humanos.
También de aquella época es el «reCAPTCHA», que además ayudaba a digitalizar libros o (irónicamente) entrenar sistemas de visión.
¿Cómo se identifican ahora los humanos? Las empresas como Google o Cloudflare han optado por sustituir los CAPTCHA y reCAPTCHA por mecanismos invisibles que analizan el comportamiento del usuario. O, básicamente, de lo que hace con el ratón y el teclado. En lugar de pedirle que demuestre que es humano, simplemente observan cómo actúa (mediante un script que se carga junto con la página) y extraen conclusiones estadísticas. Los indicadores más comunes que se analizan son:
- Dinámica del ratón: velocidad, pausas y trayectorias irregulares típicas de una mano humana frente a movimientos automáticos.
- Patrones al teclear: intervalos entre pulsaciones y correcciones.
- Historial: páginas visitadas, cookies y otra información del navegador.
- Contexto de red: reputación de la dirección IP de conexión, país de origen o uso de proxys y VPNs.
Estos sistemas calculan una especie de «puntuación de riesgo» que decide si se permite el acceso, se pide un reto adicional o se bloquea al usuario. Su objetivo no es complicar la experiencia, sino eliminar fricción. En teoría, la mayoría de las personas no notará que ha pasado una verificación.
El resultado final es paradójico pero práctico: para distinguir entre humanos y máquinas ya no necesitamos que los humanos hagan nada. Las IAs han ganado a los CAPTCHA, pero las mismas IAs pueden decidir si en realidad somos humanos para dejarnos pasar.
_____
Cada semana grabamos con David Sierra en el distendido ambiente de Cruce de Cables, el programa de Radio Nacional de España, como colaboradores habituales. Se emite en RNE los sábados de 03:00 a 04:00.
