Investigadores descifran el sistema de seguridad de audio

Un equipo de científicos informáticos de la Universidad de Stanford y Tulane con experiencia en inteligencia artificial, procesamiento de audio y seguridad informática ha ideado una forma de derrotar automáticamente los sistemas que evitan que los spammers creen nuevas cuentas en sitios como Yahoo, Hotmail de Microsoft y Twitter. .





Muchos sitios web requieren que los usuarios transcriban correctamente una serie de caracteres distorsionados (un rompecabezas conocido como CAPTCHA) para obtener acceso. Estas pruebas son relativamente fáciles para las personas, pero muy difíciles para las computadoras. La mayoría de los sitios también hacen que los CAPTCHA estén disponibles en forma de audio, para usuarios con problemas de visión, y los investigadores encontraron que su algoritmo podría resolver muchos de estos CAPTCHA de audio. Los investigadores de la Universidad Carnegie Mellon han demostrado la vulnerabilidad de los CAPTCHA de audio antes, en 2008, pero el nuevo trabajo apunta a versiones más nuevas y seguras.

La capacidad de derrotar automáticamente a los CAPTCHA podría hacer que a los spammers les resulte más económico producir spam. En este momento, los spammers pagan salarios de explotación humana para resolver CAPTCHA, pero esto puede costar hasta un centavo cada uno.

El líder del equipo, Elie Bursztein, de la Universidad de Stanford, dice que el algoritmo del equipo, llamado deCAPTCHA, pudo derrotar los CAPTCHA de audio de Microsoft y Yahoo en casi la mitad de los casos. Desde entonces, Microsoft ha cambiado a otro tipo de CAPTCHA, que el algoritmo aún puede derrotar en el 1,5 por ciento de los casos.



[Al derrotar las medidas de seguridad], si cruza el umbral del 1 por ciento, está en un gran problema, dice Burzstein. Es casi un pase gratuito.

Luis Von Ahn, quien acuñó el término CAPTCHA, dice que, en realidad, las empresas pueden controlar la velocidad a la que los CAPTCHAS de audio se ven comprometidos limitando el número de ellos que se pueden resolver por día, o limitando el número que se puede resolver por una única dirección IP. Pero, dice el experto en seguridad Markus Jakobsson, es muy importante comprender cómo podemos romper cosas antes de que lo hagan los malos.

Un CAPTCHA de audio lee en voz alta una serie de letras o números con distorsión de audio añadida. El equipo de Stanford creó un algoritmo de aprendizaje para procesar el sonido de una manera lo más cercana posible a la forma en que creemos que está hecho el oído humano, dice Bursztein. Esto significó centrarse en los sonidos de baja frecuencia, que los humanos son especialmente buenos procesando, y eliminar tanto ruido de los CAPTCHA de audio como sea posible.



El equipo de Bursztein también está trabajando para crear varios tipos nuevos de CAPTCHA de audio. Un tipo reproduce dos voces que leen diferentes cadenas de letras o palabras al mismo tiempo. Los seres humanos son especialmente buenos para distinguir una voz cuando están rodeados de muchas conversaciones en competencia en una sala llena de gente, pero las computadoras son terribles en esta tarea. Un segundo tipo combina palabras con música.

Incluso si muchos CAPTCHA existentes son vulnerables a los ataques, dice Jakobsson, su falla no es tan grave como el compromiso de un sistema de contraseñas. [La derrota de CAPTCHA] es una degradación gradual de la seguridad. No es necesario que todo el mundo se quede afuera para sentir que tiene seguridad; una falla es tolerable.

esconder