Hace un par de días hablaba en The Inq del último fracaso de la tecnología CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), esas pequeñas representaciones de caracteres distorsionados y con fondos entremezclados que sirven como mecanismo de autenticación en procesos de registro online. Mi respetado Turing – y eso que en la facultad no me cayó demasiado bien por las dichosas máquinas universales – demuestra no ser infalible, o al menos, la aplicación de los principios que él propuso hace ya la friolera de 60 años. El tema me ha vuelto a la mente después de leer otro fantástico post de Jeff Atwood en su impresionante Coding Horror.
Atwood ya habló de este tema en noviembre, y ya entonces presté mucha atención a la validez de esta técnica, que por entonces ya era posible superar en muchos casos y que por lo tanto era del todo menos infalible. Algo que se ha demostrado completamente apenas 3 meses después, cuando los tres códigos CAPTCHA que se consideraban infranqueables – y que utilizaban en Google, Hotmail y Yahoo – han sido crackeados con mayor o menor éxito. Aunque el de Gmail sea un fallo parcial – sólo un 20% de los intentos de los spammers logran superar el registro CAPTCHA – es evidente que este medio de protección ante la amenaza spam es poco eficiente.
De hecho, la solución al problema que plantea este fracaso no es nada sencilla. Poder autentificarnos como usuarios para registrar una cuenta de un servicio online puede convertirse en el futuro en algo realmente engorroso y que casi haga necesaria la presencia física o una autenticación mucho más real. Atwood propone una solución basada en una comunicación previa entre el proveedor y el consumidor:
At some point, unfortunately, CAPTCHA devolves from a simple human reading test into an intelligence test or an acuity test. Depending on how invasive you want to be, you’ll eventually be forced to move to two-factor authentication, like sending a text message to someone’s cell phone with a temporary key.
Pero no estoy seguro de que esta situación sea una solución demasiado elegante. De hecho, me parece una chapuza aún peor que CAPTCHA, ese método molesto que a veces ni siquiera los humanos somos capaces de reconocer fácilmente. El que no haya fallado alguna vez al escribir un CAPTCHA, que tire la primera piedra 😀