Los investigadores han creado una nueva inteligencia artificial que podría significar el fin de uno de los sistemas de seguridad de sitios web más utilizados.

El nuevo algoritmo, basado en métodos de aprendizaje profundo, es el solucionador más eficaz de los sistemas de seguridad y autenticación de captcha hasta la fecha y es capaz de derrotar las versiones de los esquemas de captcha de texto que se utilizan para defender la mayoría de los sitios web más populares del mundo.

Los captchas basados ​​en texto utilizan una mezcla de letras y números, junto con otras funciones de seguridad, como líneas de oclusión, para distinguir entre humanos y programas informáticos automatizados maliciosos. Se basa en que a las personas les resulte más fácil descifrar los caracteres que las máquinas.

Desarrollado por científicos informáticos de la Universidad de Lancaster en el Reino Unido, así como por la Universidad del Noroeste y la Universidad de Pekín en China, el solucionador ofrece una precisión significativamente mayor que los sistemas de ataque captcha anteriores, y es capaz de descifrar con éxito versiones de captcha donde los sistemas de ataque anteriores han fallado.

El solucionador también es muy eficiente. Puede resolver un captcha en 0.05 de segundo usando una PC de escritorio.

Funciona mediante el uso de una técnica conocida como 'Red Adversarial Generativa', Organo. Esto implica enseñar un programa generador de captchas para producir una gran cantidad de captchas de entrenamiento que son indistinguibles de los captchas genuinos. Luego se usan para entrenar rápidamente a un solucionador, que luego se refina y se prueba contra captchas reales.

Mediante el uso de un generador de captcha automático con aprendizaje automático, los investigadores, o serían atacantes, son capaces de reducir significativamente el esfuerzo, y tiempo, necesitaba encontrar y etiquetar captchas manualmente para entrenar su software. Solo requiere 500 captchas genuinas, en lugar de los millones que normalmente se necesitarían para entrenar eficazmente un programa de ataque.

Los solucionadores de captcha anteriores son específicos de una variación de captcha en particular. Los sistemas de ataque de aprendizaje automático anteriores requieren mucha mano de obra para construir, requiriendo mucho etiquetado manual de captchas para entrenar los sistemas. También se vuelven obsoletos fácilmente por pequeños cambios en las características de seguridad utilizadas dentro de los captchas.

Debido a que el nuevo solucionador requiere poca participación humana, se puede reconstruir fácilmente para apuntar a nuevos, o modificado, esquemas captcha.

El programa fue probado en 33 esquemas captcha, de los cuales 11 son utilizados por muchos de los sitios web más populares del mundo, incluido eBay, Wikipedia y Microsoft.

Dr. Zheng Wang, Profesor titular de la Escuela de Computación y Comunicaciones de la Universidad de Lancaster y coautor de la investigación, dijo:"Esta es la primera vez que se ha utilizado un enfoque basado en GAN para construir solucionadores. Nuestro trabajo muestra que las características de seguridad empleadas por los esquemas actuales de captcha basados ​​en texto son particularmente vulnerables bajo métodos de aprendizaje profundo.

"Demostramos por primera vez que un adversario puede lanzar rápidamente un ataque a un nuevo esquema de captcha basado en texto con muy poco esfuerzo. Esto da miedo porque significa que esta primera defensa de seguridad de muchos sitios web ya no es confiable. Esto significa captcha abre una enorme vulnerabilidad de seguridad que puede ser aprovechada por un ataque de muchas formas.

Señor Guixin Ye, el estudiante autor principal del trabajo dijo:"Permite que un adversario lance un ataque a los servicios, como ataques de denegación de servicio o mensajes de spam o de pesca, para robar datos personales o incluso falsificar la identidad de los usuarios. Dada la alta tasa de éxito de nuestro enfoque para la mayoría de los esquemas de captcha de texto, los sitios web deberían abandonar los captchas ".

Los investigadores creen que los sitios web deberían considerar medidas alternativas que utilicen múltiples capas de seguridad, como los patrones de uso de un usuario, la ubicación del dispositivo o incluso la información biométrica.

La investigación se publica en el artículo 'Yet Another Text Captcha Solver:A Generative Adversarial Network Based Approach', que se presentó en la Conferencia ACM sobre Seguridad de la Computación y las Comunicaciones (CCS) 2018 en Toronto.