¿Ha sido roto el captcha de Gmail?

os informes, concretamente hablan de la "ruptura de la protección vía captcha", o sea la imagen distorsionada que muestra al usuario un texto que debe ser manualmente ingresado para proceder a crear una nueva cuenta.

Un interesante post en el blog de Justin Mason, un investigador independiente y desarrollador de software que participó en proyectos como Apache SpamAssassin, aporta otra teoría al respecto. El análisis y las pruebas obtenidas, parecen apuntar más a la existencia de lo que el blog define como "granja de cosechadores de captchas".

El tema de la "granja de captchas" ya fue planteado en abril de 2007 por el sitio Ha.ckers.org. En concreto, se menciona un equipo de "resolvedores de captchas" creado por una persona de Rumania. La premisa básica es poner a un grupo de personas (5 en ese caso concreto), a resolver los captchas manualmente por encargo.

Los aspectos económicos son muy claros. Se procesan de 300 a 500 captchas en una hora, y los clientes pagan de 9 a 15 dólares por cada 1000 captchas resueltos. El equipo trabaja un promedio de 12 horas diarias, lo que significa que pueden resolver unos 4800 captchas por día y por persona, unos 50 dólares diarios por cabeza.

Sobre el tema concreto de Gmail, el reporte original realizado por Websense, un proveedor de servicios de seguridad para el correo electrónico de empresas, afirma que el proceso para romper los captchas de Google, involucra servicios web ejecutándose en dos servidores centralizados en un mismo dominio, los cuáles "están en contacto durante todo el proceso."

Utilizar dos hosts, podría hacer que las chances de completar el proceso se dupliquen. La teoría es que si el primer host no puede romper el código, sí lo pueda hacer el segundo.

Pero Mason teoriza que también es posible que el segundo servidor mantenga una copia de seguridad de los emisores de spam, o de los resultados exitosos obtenidos, de tal manera que esa información podría ser utilizada para que un código pudiera "aprender" como mejorar el ataque (algo similar a como lo hacen los filtros bayesianos con el spam).

Es posible que los spammers utilicen estos dos hosts para comprobar la eficacia y exactitud de los dos servidores que participan en romper un captcha a la vez, también con el objetivo final de ir optimizando el proceso.

Ahora bien lo curioso según Mason (y aquí comienza lo interesante de la investigación), es que el primer host (recordemos que ambos están ubicados en Rusia), muestra un FAQ -obviamente en ruso-, conteniendo las siguientes respuestas:

Si no puede reconocer la imagen o si ésta no se carga (o aparece vacía), pulse Enter.

Pase lo que pase, no introduzca caracteres aleatorios!

Si hay un retraso en la carga de las imágenes, salga de su cuenta, actualice la página, y acceda de nuevo.

El sistema fue probado en los siguientes navegadores: Internet Explorer, Mozilla Firefox.

Antes de cada pago, las imágenes reconocidas son revisadas por el administrador. Nosotros sólo pagamos por las imágenes que son correctamente reconocidas!

El pago se realiza una vez cada 24 horas. La cantidad mínima de pago es de $ 3. Para solicitar el pago, envíe su solicitud a la administración por ICQ. Si el administrador está desocupado, su solicitud será procesada en 10 a 15 minutos, y si está ocupado, se procesará lo antes posible.

Esto claramente parecen instrucciones para "cosechadores humanos de captchas", trabajando en forma de equipo distribuido a través de una interfase web.

Otros detalles que resultan curiosos, es que existe un retraso de 40 segundos entre los contactos con ambos servidores. Luego hay un retraso de 5 segundos antes de que se invoque el sitio de Gmail con el resultado.

La teoría es que el primer host es un servicio web que funciona como puerta de entrada a una verdadera "granja de resolvedores humanos de captchas". En cambio el segundo host ejecuta un programa.

Un ser humano puede resolver un captcha en 40 segundos (lo que lleva ver la imagen e ingresar el código). Un código binario debería ser mucho más rápido. Lo interesante es que se estén ejecutando los dos sistemas en paralelo.

Posiblemente el código del segundo servidor sea el encargado de "aprender" de los datos recibidos manualmente. Si nos referimos al contenido del FAQ, la advertencia de "no introducir caracteres aleatorios", puede significar que no se desean datos erróneos.

Otra información importante del examen original producido por MessageLabs, es que se detecta que solo uno de cada 5 intentos de romper el captcha tiene éxito. O sea un 20% aproximadamente.

Esto podría significar que el algoritmo todavía no es confiable, y un 80% de las veces devuelve basura o respuestas incorrectas.

Por otra parte, MessageLabs dice que la cantidad de spam procedente de cuentas de Gmail fue aumentando sustancialmente durante febrero.

Un informe reciente de la compañía, muestra que el porcentaje de spam de Google pasó del 1,3% al 2,6%. De todos modos, la mayor parte del spam de los servicios de correo web, concretamente el 88,7%, procede de cuentas de Yahoo! Mail.

Para MessageLabs no está muy claro que el aumento que se ha notado en Gmail, provenga de la creación automatizada de cuentas, o si se corresponde con el comportamiento de más personas ingresando los resultado de los captchas "a mano". Pero si nos guiamos por la cantidad de spam, la creación de cuentas de Yahoo! claramente parece haber sido automatizada, y es probable que pronto ocurra lo mismo con Gmail.