Investigadores de la Universidad de Stanford, Tulane y el INRIA han descubierto la manera de obtener un alto porcentaje de acierto al intentar averiguar el contenido de los CAPTCHA auditivos.

Los CAPTCHA, acrónimo de "Completely Automated Public Turing Test to Tell Computers and Humans Apart" (Prueba de Turing pública y automática para diferenciar máquinas y humanos), son pruebas destinadas a identificar si quien está accediendo a un contenido es una persona o por el contrario una máquina que potencialmente pueda automatizar cualquier tarea sobre dicho contenido. Estas pruebas que usualmente constan de un texto que ha sido distorsionado, están empezando a utilizar el formato de audio con ruido de fondo que pueda confundir a la máquina que intente averiguar su contenido. Esto es así porque el CAPTCHA tradicional comienza a no ser suficiente, y existen técnicas para romperlo.

Los investigadores han conseguido diseñar una herramienta capaz de eliminar el ruido de fondo presente en las pistas de audio cuando los sonidos a interpretar no se reproducen de manera continua, lo que lo hace más fácil de tratar que incluso los CAPTCHAs visuales según se afirma en el documento. Esta herramienta, que han llamado Decaptcha, tiene un funcionamiento que recuerda a otras herramientas destinadas a romper los CAPTCHAs basados en texto, puesto que en un primer procesamiento se separa el audio según la energía que sea detectada en cada momento en la onda. Acto seguido se genera una representación de los dígitos extraídos y, finalmente, estas representaciones pasan por una fase de clasificación para reconocer los dígitos. A pesar de las variaciones entre los diferentes sistemas de cada compañía (velocidad de la pronunciación, tiempo entre un dígito y otro, ruido de fondo...) siempre se mantienen los mismos patrones que no pueden ser completamente enmascarados.

Las pruebas realizadas muestran el mayor éxito en los CAPTCHAs de la web de Authorize.net (89% de acierto) y unos resultados no menos reseñables del 82% con el CAPTCHA de eBay y un 49% con el de Microsoft, llegando a obtener un nivel de acierto mayor incluso que los humanos. Estos valores son conseguidos con un entrenamiento de la herramienta utilizando apenas 300 CAPTCHAs ya solucionados y en 20 minutos, llegando a resolver de manera correcta diez CAPTHCHAs en un solo minuto de procesamiento con un simple ordenador de escritorio.

Según se afirma en el artículo publicado, actualmente todos los CAPTCHA auditivos diseñados utilizando los métodos actuales (sin ruido semántico) son inherentemente inseguros si se desea que puedan ser reconocidos por el oído humano.


Más infromación:

The Failure of Noise-Based Non-Continuous Audio Captchas
http://cdn.ly.tl/publications/decaptcha-audio.pdf

Javier Rascón
jrascon@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4598

Todavía no entiendo por qué los desarrolladores webs son tan idiotas de pensar que los CAPTCHAS con números y letras son válidos y que sirven ... en la práctica son obsoletos y simplemente molestos ... están más pensados para software que quiebra esas imágenes con números y letras que para seres humanos, siempre que veo un CAPTCHA tengo que hacer un esfuerzo descomunal para saber qué caracteres esconden tan intricadas líneas ...

Un acercamiento más "salubre" me resulta el del foro de defcon (Que dicho sea de paso, también es un captcha o prueba de turing al revés ) : Preguntar cosas que un humano podría responder y una máquina no ...
No es infalible, pero con la ayuda de otros mecanismos son mucho más potables que las líneas desfiguradas ...

Saludos.