¿Qué es CAPTCHA y cómo funciona?

Descifrar letras garabateadas, tocar cada imagen que contenga un semáforo o deslizar una pieza de puzzle a su sitio... Cada vez más tenemos que resolver estos pequeños retos digitales, también conocidos como CAPTCHAs, al registrar cuentas, publicar comentarios o enviar formularios online.

Pero, ¿qué son exactamente? ¿Y por qué existen? Sigue leyendo para saber qué es un CAPTCHA y el importante papel que desempeña en la ciberseguridad.

¿Por qué se inventó el CAPTCHA?

La historia del CAPTCHA, que significa "Completely Automated Public Turing test to tell Computers and Humans Apart", se remonta a principios del siglo XXI. El término fue acuñado en 2003 por un grupo de investigadores de la Universidad Carnegie Mellon para resolver un problema concreto.

Por aquel entonces, el principal servicio de correo electrónico, Yahoo, tenía problemas con los spammers. Los usuarios malintencionados empleaban programas informáticos para crear un gran número de cuentas de correo electrónico y las utilizaban indebidamente para distribuir mensajes de spam por todas partes.

Los investigadores de Carnegie Mellon querían ayudar, así que idearon una prueba en la que los usuarios tendrían que interpretar y teclear una serie de letras y números garabateados para demostrar que eran personas reales al crear nuevas cuentas. Yahoo implementó rápidamente esta nueva tecnología para combatir los registros que eran spam, y pronto le siguieron otras plataformas.

Cuándo y por qué ves pruebas CAPTCHA

Aunque CAPTCHA se creó originalmente para impedir que los spammers crearan cuentas de correo electrónico, desde entonces ha adoptado una variedad de aplicaciones adicionales. La mayoría de nosotros vemos pruebas CAPTCHA cuando iniciamos sesión en cuentas o enviamos formularios online.

Iniciar sesión en cuentas

Muchas plataformas, como los bancos online, las cuentas de correo electrónico y las redes sociales, piden habitualmente a los usuarios que completen un CAPTCHA al iniciar sesión en sus perfiles. En esencia, el CAPTCHA proporciona una capa adicional de protección de inicio de sesión, garantizando que es un usuario humano real el que intenta iniciar sesión en lugar de un robot.

Esto ayuda a evitar una serie de ataques automatizados de inicio de sesión basados en bots, como los ataques de fuerza bruta, en los que los bots prueban rápidamente un gran número de credenciales de usuario para encontrar las correctas y acceder a una cuenta.

Envío de formularios

También puedes encontrar un CAPTCHA al hacer clic en el botón "Enviar" de un formulario online, como una página de envío de comentarios, un formulario de contacto o una encuesta.

Esto, de nuevo, ayuda a detener la actividad de los bots. Se pueden utilizar robots para enviar spam a las secciones de comentarios con mensajes no deseados o incluso enlaces de phishing. También podrían utilizarse para sesgar o influir en sondeos, concursos o encuestas online. Los CAPTCHAs evitan que esto ocurra.

¿Cómo funciona CAPTCHA?

El objetivo de cualquier prueba CAPTCHA es discernir si un usuario es una persona real o un programa informático, como un bot. Las pruebas adoptan numerosas formas, pero todas tienen el mismo objetivo final. A continuación te explicamos cómo funciona exactamente.

Usuario vs. bot: Cómo te identifica el test

Los CAPTCHA funcionan esencialmente según el principio de que hay ciertos problemas o rompecabezas que son bastante fáciles para los humanos, pero muy difíciles o casi imposibles de resolver para los robots. A continuación, presenta estos enigmas al usuario, como pedirle que escriba una serie de símbolos o que responda a un problema matemático relativamente sencillo.

Un ejemplo famoso de CAPTCHA es cuando ves una secuencia de letras y números que están distorsionados de alguna manera. Pueden parecer garabateados en la pantalla en ángulos aleatorios, por ejemplo, o estar oscurecidos por colores y elementos visuales. Mientras que los humanos pueden leer y repetir estas secuencias con bastante facilidad, la mayoría de los robots no pueden.

Por tanto, si el usuario es capaz de superar la prueba, básicamente demuestra al sistema que, con toda probabilidad, es un humano.

Entre bastidores: Lógica del servidor y activadores

Afortunadamente, no siempre tienes que completar CAPTCHAs al iniciar sesión en cuentas, introducir información en formularios, realizar compras online, etc. Muchos de ellos sólo aparecen en circunstancias específicas, cuando los servidores del sitio web advierten signos de comportamiento inusual o posiblemente sospechosos, como por ejemplo:

Anomalías en la dirección IP

Los sitios pueden pedirte que completes un CAPTCHA si se dan cuenta de que utilizas una dirección IP sospechosa, compartida o proxy. Esto también puede afectar a los usuarios de VPN, ya que una VPN enmascara tu dirección IP real con una propia.

Si un sitio observa que tu dirección IP cambia repentinamente o recibe un gran número de solicitudes de usuarios que comparten la misma IP, puede considerarlo sospechoso. Esto se debe a que los bots suelen esconderse detrás de proxies o VPN para llevar a cabo sus actividades discretamente.

Si experimentas este problema a menudo con tu VPN, cambiar de servidor puede ayudarte. También puedes probar a borrar el historial o la caché del navegador, obtener una dirección IP dedicada o cambiar de navegador.

Comportamiento sospechoso del navegador

Los CAPTCHAs también pueden aparecer si un sitio detecta que un usuario se comporta de forma sospechosa o muestra signos de actividad tipo bot. Esto puede ocurrir si el usuario está rellenando formularios muy rápidamente, pulsando botones de forma muy calculada y precisa, o enviando múltiples peticiones sucesivas a un servidor.

Todos estos son signos potenciales de comportamiento bot, y los CAPTCHAs pueden desplegarse para ralentizar o detener al bot en su camino. Esto puede ayudar a detener las estafas basadas en bots en campos como el ecommerce, como las redes de bots que se utilizan para comprar grandes cantidades de entradas de eventos o productos de edición limitada para que los estafadores los revendan a un precio más alto.

Picos de tráfico repentinos

Ciertos ciberataques implican el uso de redes de bots para inundar un sitio web con montones de peticiones a la vez, como los ataques de denegación de servicio distribuido (DDoS). Los CAPTCHAs pueden servir como herramientas de mitigación de DDoS, desplegándose automáticamente si un sitio detecta un aumento repentino e inesperado del tráfico.

Tipos de CAPTCHA

Los CAPTCHA empezaron como simples pruebas basadas en texto, pero han evolucionado a lo largo de los años hacia numerosas formas, incorporando audio, imágenes y otros elementos.

CAPTCHA basado en texto

La prueba CAPTCHA original, una CAPTCHA basada en texto, utiliza palabras, frases o secuencias aleatorias de letras y números, que se han distorsionado de alguna manera o se muestran de un modo que dificulta su lectura a los robots.

Se utilizan diferentes técnicas para crear CAPTCHAs basados en texto, como la técnica Gimpy, que implica una selección aleatoria de palabras de un diccionario, o la HIP de Simard, que selecciona letras y números al azar, y luego los distorsiona con arcos y colores inusuales. El usuario sólo tiene que leer el texto y escribirlo en la casilla prevista para resolver la prueba.

Sin embargo, aunque es probable que de vez en cuando te encuentres con CAPTCHAs basados en la distorsión del texto, una investigación de Google de 2014 reveló lo ineficaces que se habían vuelto para distinguir a los humanos de los bots. Los investigadores de IA de Google aplicaron algoritmos avanzados de aprendizaje automático a los tipos de CAPTCHA de texto distorsionado que se utilizan habitualmente en Internet. Los resultados fueron sorprendentes: Su sistema fue capaz de resolver los CAPTCHA más distorsionados con más del 99 % de precisión. En comparación, las tasas de éxito humano rondaban el 33 %, en gran parte debido a la creciente complejidad que las hacía frustrantes para los usuarios reales.

CAPTCHA basado en imágenes (reCAPTCHA v2)

Estos CAPTCHAs presentan al usuario imágenes y le indican que haga clic en las que coinciden con un tema concreto o que seleccione las que no encajan con las demás. Algunos ejemplos conocidos son tener que hacer clic en todas las imágenes de una serie que contengan pasos de peatones o bocas de incendios, o que se te pida que hagas clic en cuadrados concretos de una imagen más grande.

Los CAPTCHA basados en imágenes se diseñaron para sustituir a los basados en texto y lo han hecho en muchas plataformas, ya que algunos usuarios los encuentran más fáciles de entender y resolver.

También se cree que son más difíciles de resolver para los robots, debido a que implican tanto la comprensión semántica como el reconocimiento de imágenes.

CAPTCHA de audio

Las pruebas CAPTCHA de audio reproducen un pequeño archivo de sonido, a menudo con una voz que lee en voz alta una serie de letras o números. A continuación, el usuario tiene que introducir lo que ha oído en un cuadro de texto. A menudo, el audio también tiene cierto nivel de ruido de fondo, lo que dificulta que los robots entiendan lo que se dice.

Los CAPTCHA de audio son menos comunes que las variantes basadas en texto e imagen, pero constituyen una alternativa útil para las personas con deficiencias visuales.

Rompecabezas matemáticos y de lógica

Algunos CAPTCHAs plantean al usuario sencillos problemas matemáticos o lógicos. Pueden pedirte que introduzcas una palabra que falta en una frase, que resuelvas un problema de suma o que deslices la pieza de un puzzle hasta la posición correcta, por ejemplo.

De nuevo, estos puzzles suelen ser muy sencillos para una persona normal, pero los programas informáticos pueden tener problemas para entender lo que se les pide. Basándose en la respuesta del usuario, el CAPTCHA puede discernir con precisión entre un humano o un bot.

No CAPTCHA reCAPTCHA

El "No CAPTCHA reCAPTCHA" es una forma muy sencilla de CAPTCHA que introdujo Google en 2014. Simplemente pide al usuario que haga clic en una casilla junto al mensaje "No soy un robot".

Tanto los robots como los humanos son capaces de hacer clic en la casilla. Sin embargo, es casi inevitable que los robots hagan clic siempre justo en el centro, mientras que los humanos tienden a ser menos predecibles, con ligeras variaciones en la posición, el momento y el movimiento que conducen al clic. Basándose en estos factores (movimiento del ratón, tiempo, características del clic, comportamientos de desplazamiento, etc.), el CAPTCHA puede hacer una suposición informada sobre la verdadera naturaleza del usuario.

Si la interacción parece sospechosa de algún modo, se desplegará una prueba CAPTCHA de seguimiento.

CAPTCHA invisible (reCAPTCHA v3)

Como su nombre indica, no puedes ver los CAPTCHA invisibles, ni necesitas interactuar directamente con ellos ni resolver ningún enigma concreto. Se ejecutan en segundo plano, rastreando la actividad de un usuario y asignándole una puntuación en función de sus acciones.

La puntuación se basa en las interacciones entre los usuarios y el sitio, aunque Google no ha revelado mucha información sobre cómo se calcula exactamente cada puntuación.

Sin embargo, múltiples fuentes afirman que el sistema implica recoger y procesar elementos de los datos del usuario, que pueden incluir la dirección IP del visitante, los movimientos del ratón, las entradas del teclado, además del navegador y el sistema operativo que utiliza.

Por ejemplo, en 2023, la autoridad francesa de protección de datos, la CNIL, impuso a NS Cards France una multa de 105.000 euros (unos 114.000 dólares) tras una investigación que reveló que este proveedor de soluciones de pago online utilizaba la tecnología reCAPTCHA de Google sin informar a los usuarios de que los datos de sus dispositivos y aplicaciones se recopilarían y enviarían a Google para su análisis.

Honeypot CAPTCHA

Una forma fácil de pensar en un Honeypot CAPTCHA es como una trampa para bots. Estas pruebas CAPTCHA son invisibles para los humanos, pero visibles para los robots. Los robots los ven como campos vacíos en los formularios y a menudo intentarán interactuar con ellos y rellenarlos, cosa que los usuarios humanos reales no harían, ya que para empezar no pueden ver los campos.

Formularios temporales

Los CAPTCHA basados en el tiempo intentan distinguir a los humanos de los robots cronometrando el tiempo que tardan en rellenar un formulario o introducir datos en un campo. Los robots suelen realizar estas acciones mucho más rápido que los usuarios humanos. Por tanto, si el CAPTCHA detecta una respuesta anormalmente rápida, tenderá a suponer que el usuario debe ser un bot.

CAPTCHA e IA: ¿Qué es el test de Turing?

Como ya se ha mencionado, CAPTCHA significa Prueba de Turing Pública Completamente Automatizada para Diferenciar Ordenadores y Humanos ("Completely Automated Public Turing test to tell Computers and Humans Apart" en inglés). El test de Turing, o juego de imitación, es una forma de probar la capacidad de una máquina para comportarse como los humanos. Fue creado por el matemático, informático y filósofo británico Alan Turing en 1949.

El concepto original de Turing para la prueba implicaba tres terminales separadas: una operada por un ordenador y dos por humanos. Un humano hace preguntas, mientras que el otro humano y el ordenador dan respuestas. En función de sus respuestas, el interrogador debe determinar cuál es la máquina.

CAPTCHA funciona según un principio similar. Presenta un reto y juzga la respuesta para decidir si procede de un humano o de un bot. La diferencia clave es que, en CAPTCHA, el papel del evaluador lo realiza un software en lugar de una persona.

Aplicaciones de IA en el mundo real a partir de datos CAPTCHA

Empresas como Google llevan años utilizando pruebas CAPTCHA para entrenar modelos de IA y mejorar el aprendizaje automático. Recopilan datos basados en cómo responden los usuarios a distintos acertijos y problemas CAPTCHA y luego introducen esos datos en sistemas de inteligencia artificial, mejorando su comprensión semántica, reconocimiento de imágenes y otras capacidades.

Uno de los primeros ejemplos más comunes de pruebas CAPTCHA era un CAPTCHA basado en texto que pedía a los usuarios que escribieran una secuencia de dos palabras. Sin que lo supiera la persona que lo resolvía, una de las palabras era una imagen de una palabra de un libro real y físico. Cada vez que un usuario completaba un CAPTCHA tecleando las dos palabras, en realidad estaba ayudando a transcribir y digitalizar libros y documentos físicos. Este proceso ayudó a digitalizar todo el archivo de Google Books, junto con millones de artículos antiguos del New York Times.

Cuando empezó a surgir la tecnología de aprendizaje automático y de IA, y los CAPTCHA basados en imágenes se hicieron más frecuentes, a Google se le ocurrió otra idea.

Recopiló datos de pruebas CAPTCHA completadas para mejorar el reconocimiento de imágenes de la IA. Por ejemplo, un CAPTCHA podría presentar a los usuarios un montón de imágenes diferentes y pedirles que hagan clic en las que contengan coches. Google podría entonces introducir esos datos en sus modelos de aprendizaje automático para ayudar a la IA a detectar mejor los coches en las fotografías.

Esta misma tecnología también se ha utilizado para mejorar los resultados de Google Maps (por ejemplo, mejorando la capacidad del algoritmo para leer las placas con los números de las casas), proporcionar resultados de Búsqueda de imágenes de Google e incluso permitir a los usuarios buscar en sus bibliotecas de Google Photos imágenes que contengan elementos o artículos concretos. Incluso se está incorporando a los coches autónomos, ayudándoles a detectar e identificar las señales de tráfico.

Pros y contras del CAPTCHA

El CAPTCHA aporta tanto ventajas como inconvenientes para los usuarios cotidianos y los propietarios de sitios web.

Ventajas para los propietarios de sitios web

Los propietarios de sitios web se benefician en gran medida de la implantación de la tecnología CAPTCHA. Les ayuda a bloquear la actividad de los bots, detener el spam y las cuentas falsas, prevenir el fraude y mucho más. Los CAPTCHAs también pueden verse como un signo de credibilidad, haciendo que un sitio parezca más seguro.

Cuestiones de usabilidad y accesibilidad

A muchas personas los CAPTCHA les resultan molestos o incómodos, ya que a menudo les impiden acceder a sitios o contenidos que desean ver. Es posible que la gente no siempre entienda la necesidad de los CAPTCHA, lo que puede aumentar su frustración, y algunos usuarios, sobre todo los que tienen deficiencias visuales u otros problemas, pueden encontrar ciertos tipos de pruebas CAPTCHA especialmente difíciles de resolver.

Impacto negativo en las conversiones

Dado que los CAPTCHA requieren tiempo y esfuerzo para completarlos, pueden afectar negativamente a los índices de conversión de los sitios web, dificultando a los propietarios de los sitios la realización de ventas, la generación de clientes potenciales y la captación de clientes.

Un estudio de 2010 de la Universidad de Stanford descubrió que ciertos tipos de CAPTCHAs (los CAPTCHAs de audio en particular) resultaban tan frustrantes para los participantes en sus pruebas que renunciaban por completo a resolverlos en el 50 % de los casos.

Alternativas a CAPTCHA

Dados los notables inconvenientes de los CAPTCHAs, los propietarios de sitios web pueden considerar otras alternativas para proteger sus sitios y bloquear bots.

Inicio de sesión CAPTCHA⁠en redes sociales

Los botones de inicio de sesión en redes sociales son una forma cada vez más popular y segura de protección anti-bot y de seguridad del sitio web. Estos botones suelen aparecer cuando los usuarios quieren acceder a una plataforma o contenido, pidiéndoles que inicien sesión con una cuenta en plataformas como Google o Facebook.

Dado que lleva mucho tiempo y esfuerzo crear perfiles individuales de redes sociales para los bots, el botón de inicio de sesión en redes sociales puede resultar muy valioso para evitar el fraude, el spam y las estafas.

En el lado negativo, los inicios de sesión en redes sociales pueden verse como una forma de violación de la privacidad. Algunos usuarios no quieren necesariamente iniciar sesión en sus perfiles de redes sociales y revelar esencialmente su identidad al acceder a determinados sitios o plataformas.

Análisis de comportamiento

Las herramientas de análisis de comportamiento rastrean patrones de comportamiento de los usuarios y buscan signos sospechosos de actividad bot.

Por ejemplo, son capaces de ver cómo se comporta un usuario en un sitio, como dónde mueve el cursor del ratón y con qué frecuencia hace clic en un botón o pulsa una tecla del teclado. También pueden seguir los movimientos de un usuario a través de un sitio y ver cuánto tarda en completar determinadas acciones.

Los bots tienden a hacer todas estas cosas de forma muy rápida, calculada y precisa, mientras que los humanos pueden tardar más tiempo o parecer más aleatorios e impredecibles en sus acciones. Esto ayuda a las herramientas de análisis a distinguir entre bots y personas.

Autenticación multifactor (MFA)

La MFA y la autenticación de dos factores (2FA) son herramientas útiles para evitar que los bots creen cuentas de usuario e inicien sesión en ellas. Proporciona una capa adicional de seguridad en el inicio de sesión, pidiendo al usuario que introduzca una clave de acceso o utilice datos biométricos para entrar en su cuenta, algo que los bots no pueden hacer.