944 063 154

Blog

¿Aún no has instalado un captcha en tu sitio web?

Publicado enCiberataques en octubre 23, 2019 10:00 am

Cuando tienes una web o una tienda online uno de tus objetivos es conseguir que cada vez más personas lleguen a él de forma orgánica y, si se da el caso, se registren en la web. Por ello, es habitual crear una página de contacto, añadir un formulario, habilitar el registro… pero ¿has instalado un captcha? Generalmente el problema viene cuando los emails que recibes o los nuevos usuarios registrados no son reales; además de que es probable que acabes fijando tus objetivos en base a unos datos de audiencia que no son ciertos. Para evitar esto desde hace unos años en casi todas las páginas web se utilizan los captchas.

Captcha, ¿qué es?

El captcha (Completely Automated Public Turing test to tell Computers and Humans Apart); es decir, una prueba de Turing automática y pública que permite diferenciar ordenadores de humanos. A pesar de la referencia a la prueba de Turing, los captcha están controlados por una máquina, en lugar de por un humano; así que más bien se trata de una prueba de Turing inversa, nombre por el que también es conocido.

Utilizado por primera vez en el 2000, el captcha comenzó a desarrollarse a mediados de los 90, cuando los buzones de correo y los foros de internet empezaron a llenarse de spam. Un invento surgido en Altavista, uno de los buscadores más conocidos antes de que Google lo arrasara todo, para evitar que las peticiones de registro en su motor de búsqueda se llenaran de spam. La razón de ser del captcha se encuentra en que se supone que un ordenador no será capaz de comprender lo que en la imagen distorsionada a descifrar se muestra.

Principalmente los captcha se utilizan para evitar que bots, o spambots, utilicen algunos servicios de internet. Por ejemplo, es habitual su instalación en formularios de contacto para evitar que puedan enviar spam al email del sitio web, en encuestas o foros de discusión para no desvirtuar el mensaje o que no puedan registrarse en ninguna página web o tienda online. Antes de que cualquiera de estas acciones se produzca deberá pasarse por el captcha y, solo si se supera el mensaje o la acción se llevará a cabo.

ReCaptcha, su versión mejorada

Más allá de que solo sirven para demostrar la humanidad, los captcha no son infalibles. Prueba de ello es que el spam y los bots no solo se cuelan entre los formularios de contacto. También son capaces de llevar a cabo ataques DDoS o distribuir malware. Por ello se intentó mejorar el método para evitar que la explotación de vulnerabilidades o el entrenamiento de los sistemas lograra descifrar el captcha.

El reCaptcha es la evolución del captcha, una nueva versión que sirvió para digitalizar textos que los ordenadores no podían entender. Con el tiempo, y la adquisición del proyecto por parte de Google en 2009, dejaron de utilizarse caracteres aleatorios para mostrar palabras de textos que el usuario debía identificar para buscar otros métodos más productivos.

Un lustro después, en 2014, el reCaptcha evolucionó a No captcha reCaptcha, la verificación mediante un solo click. Esto fue posible gracias al análisis que se hacía de los movimientos del usuario, como su dirección IP o las cookies de su equipo para asegurarse que tiene un comportamiento en internet de humano. En el caso de que el reCaptcha no esté seguro de tu humanidad, seguirá mostrando pruebas en las que tendrás que identificar coches, semáforos, letreros… información extraída de Google Street View para mejorar la precisión de las direcciones de Maps.

El captcha invisible

Prácticamente al mismo ritmo que avanzan las mejoras del captcha, hacen los propio los sistemas de bots. Por ello Google ha creado una nueva versión de reCaptcha que se caracteriza por no ser necesario interactuar directamente para poder demostrar la humanidad. Esto que hace que sea mucho menos molesto que sus antecesores también puede llevar a dudar de la prividad de nuestros datos. ReCaptcha v3 se sirve de determinados criterios, como los movimientos de ratón, el tiempo que pasamos en una web o el número de clicks que realizamos para otorgarnos una puntuación. Un sistema que puede hacer que un humano que no cumpla con estos criterios sea considerado como un no-humano; en este caso deberá pasar por un captcha tradicional.

Con la última versión de captcha llega una forma más fiel de conocer si el tráfico de una web es real o si, por el contrario, muchas de las visitas que recibimos provienen de bots. Una información muy valiosa para los administradores de sitios web que podrán utilizar estos datos para su estrategia. Al menos por el momento.