El hecho de que el volumen de spam siguiese siendo creciente a pesar de la popularización de modelos destinados a evitar su funcionamiento automatizado dejaba clara una cosa: algo no estaba funcionando. Y efectivamente: los viejos sistemas basados en los llamados captchas (Completely Automated Public Turing test to tell Computers and Humans Apart), esa serie de caracteres deformados y mostrados sobre fondos confusos para evitar su reconocimiento automático, pueden considerarse ya completamente superados.
Tres son, como mínimo, los sistemas utilizados por los spammers para superar el obstáculo que plantea un captcha: el primero, el más simple de todos, consistente en pagar a un humano para que lo resuelva. Un artículo en ZDNet, «Inside India’s CAPTCHA solving economy«, pone de manifiesto el complejo entramado desarrollado en países como India destinado a subcontratar personas para resolver captchas a razón de dos dólares por cada mil. Un sistema que llega incluso a utilizar en ocasiones sistemas como el Amazon Mechanical Turk para reclutar usuarios que apoyen el posicionamiento de sitios de spam en sitios sociales como Digg, Del.icio.us y muchos otros.
En segundo lugar, un método algo más sutil, más de tipo ingeniería social: ofrecer algún incentivo no económico a cambio de la resolución de captchas. Por ejemplo, una página web en la que los usuarios acceden a fotografías de una modelo con una prenda menos de ropa cada vez si en cada etapa resuelven el captcha solicitado, que resulta provenir precisamente del sitio en el que el spammer pretende entrar.
En tercero, el empleo de algoritmos automatizados de reconocimiento de caracteres, convenientemente mejorados para llegar a reconocer incluso las caprichosas deformaciones habituales en los captchas. En este caso es preciso tener en cuenta que no es necesaria una gran exactitud: la perversa matemática utilizada en el mundo spammer, capaz de lanzar cien mil intentos por día, hace que un simple 15% de eficiencia en la resolución de un sistema de captchas determinado ya resulte suficientemente productivo como para que compense invertir en su desarrollo.
Mucho me temo que a estas alturas y visto el panorama, ya no podemos esperar mucha más defensa del viejo captcha. Como siempre, la mejor defensa sigue siendo la de siempre: la paciencia, los filtros sociales tipo Akismet y similares para la detección colectiva y, sobre todo, la educación de los usuarios para que jamás respondan a ese tipo de ofertas. Para un usuario con un nivel de uso de la red razonable, el spam hoy en día ya no tiene porqué suponer un gran problema. Sí lo es, sin embargo, para los administradores de los sistemas utilizados por los spammers: imaginemos cuánta carga de recursos supone, por ejemplo, en un sitio de e-mail, de foros o de blogs, atender las decenas de miles de peticiones entrando a los servidores simultáneamente y en todo momento, como hace tiempo nos recordaba Rogelio Bernal en un comentario…
Y sí, sin duda, tendremos spam para rato…
.
¡Qué curioso lo de los indios resolviendo a mano los captcha! Ya gasté mis créditos de sorpresa ante tales prácticas cuando leí sobre los Gold Farmers en los MMORPG, pero esto es incluso más aburrido como trabajo. Pobrecitos…
¿También han conseguido romper el captcha de los gatitos de Rapidshare?. La de veces que tenía que meter el código 4 o 5 veces porque no atinaba… Creo que un buen sistema sería algo echo en flash, parecido al desbloqueador del iPhone.
Saludos!
PD: Enrique, ¿Para cuando un libro tuyo?
El primer caso es de veras interesante, algo similar a lo que comentaba Varsavasky sobre lo de pagar a alguien para que te avance en el juego http://feeds.feedburner.com/~r/martinvarsavsky/spanish/~3/373417180/cuando-internet-logra-que-los-ricos-donen-a-los-pobres.html
Al parecer no es solo la programacion especializada la industria que esta moviendo a la India, sino tambien algunas cosas menos eticas.
Los captcha no se usan para evitar SPAM en los comentarios, Enrique…
Desde hace un año, el captcha que implementé en casa (WordPress) de Juan Pedro Quiñonero es 100% efectivo (además modifiqué manualmente el sistema de trackbacks). Lo mejor, en la actualidad, es implementar una pregunta que implique la respuesta de una persona. Por ejemplo, el resultado de una suma aleatoria.
Tiempo después, Kriptópolis (Drupal) también lo implementó.
Sin embargo yo noto como un cansancio progresivo en los spamer. Me parece que los métodos de filtrado social tipo Alkismet o Gmail y la casi nula respuesta de los que lo padecemos, han hecho marginalmente rentables ese tipo de prácticas.
Al menos me hace el efecto que hoy recibo bastante menos SPAM en mis e-mails, aun contando con el que directamente se van a la papelera del SPAM y también recibo muy pocos comentarios de SPAM en mi blog, que aunque es absolutamente minoritario, esta en WordPress y por tanto, debería ser colectivamente objeto de atención de los spammer,
Puede que pase como con las pop-ups que prácticamente han desaparecido por los bloqueos. Igual pasa con los virus, se diría que han desaparecido del mapa, yo que no tengo ningún tipo de filtro de virus, se me ha olvidado la ultima vez que sufrí un ataque. Aun que a mi, eso me da miedo, pues los virus se detectaban por lo que estropeaban, pero puede que hoy no rompan nada y estén haciendo cosas mas peligrosas..
Siguiendo las instrucciones del Blogday, te informo que he incluido tu blog en mi selección del Top 5 recomendables
Personalmente sigo pensando que la mejor propuesta para combatir el spam la hizo Paul Graham hace ya un quinquenio en Filters that Fight Back.
Resulta muy barato -demasiado, tal vez- enviar millones de emails. No lo es tanto montar una infraestructura capaz de recibir millones de visitas en un servidor web…
Pienso que la única vía a seguir para combatir el spam en el correo electrónico sería un sistema de certificación mediante el cual necesites presentar un certificado ante el servidor SMTP asociado a tu dominio de origen para poder enviar correos, se evitaría de esta forma la suplatación de identidad y el control de los dominios que hicieran SPAM pudiéndose incluir en una lista negra.
Maty, ¿como puedes hablar así de un captcha tan sencillo? Si es efectivo es simplemente porque no está extendido.
Viendolo en kriptopolis.org, vemos como en texto normal indica:
«Escribe por favor el resultado de 6 + 4: »
y en el otro blog que indicas dice:
«Protección antispam: ¿Suma de 7 + 10?».
¿Sabes lo fácil que es saltarse un captcha de este tipo? Por más aleatorio que sea y aunque haya más operaciones, simplemente se parsea el texto y se extrae la operación que pide. Se resuelve y ya tienes acceso.
Estas implementaciones ni siquiera toman la precaución de pasar el texto a imagen (cosa que no impediría si no se mezcla con «ruido» que un sistema OCR lo lea).
Viendo un poco más el de kriptópolis, si véis el código fuente, está un poco más trabajado, pero aun así estos sistemas si se extendieran, duraría poco su efectividad.
Para una bitácora es más que suficiente. Otra cosa son Rapidshare y compañía.
La operación podría ser con dos dígitos, bloqueando la IP al tercer intento fallido, digo.
Lo que está claro es que se ha de huir de las configuraciones por defecto en los CMS. UTI sigue con WordPress 2.0.11 «nauscópico» (con diversas modificaciones hechas por mí para asegurarlo). Un día de éstos, con una versión 2.* suficientemente segura y estable, haré otro tanto, mas por ahora Quiñonero está más que satisfecho con el hackeo.
Ok, Maty.
Pero no creo que la solución sea que cada uno se haga el sistema por si mismo (sobre todo en blogs pequeños, en webs importantes puede ser más factible).
Akismet creo que es muy útil, y lo puede implementar cualquier blogger fácilmente. Aunque es verdad que siempre se escapa una pequeña cantidad de comentarios-spam.
Los captcha como los de rapidshare sólo consiguen enfadar a los usuarios, aunque estoy seguro de que el número de cuentas premium aumento, y ese era el objetivo…
Hubo quien mostró un prototipo de captcha con animales (identificación del animal). Pero rápido se demostró que tenía fallos.
Nosotros en feedonia.com todavia no tenemos problemas con el spam, acabamos de nacer y todavia no atraemos mucho trafico.
Lo que no sabe la gente es la cantidad de recursos que se invierten en reventer captchas, sobretodo en grandes sitios… los gatitos de rapidshare no tardaron mucho en caer… (cualquiera que haya cursado alguna asignatura de vision por computador sabe que todos acaban cayendo).
Una curiosidad, debido que ya es muy comun el uso de sistemas de antispam (como spamassasin y otros) los spammers enviaban adjuntos como pdf que eran mas complicados de analizar, salieron plugins que usando ocr´s analizaban el mensaje… la respuesta? enviar los pdf´s con el texto borroso.
Va a ser una muy larga batalla.
El captcha para bastantes spammers, es la diferencia entre ponerle alarma al coche o no, si alguién está absolutamente interesado en robarte el coche no sirve de nada, pero para el caco que pasaba por allí es más que suficiente.
Por otro lado si se generaliza el uso de recaptcha (http://www.recaptcha.net) en el que los captchas vienen de textos antiguos difíciles de digitalizar (dos palabras, una la nueva a digitalizar y la otra es de control), un ataque exitoso reportará el beneficio de haber digitalizado varios textos (si no puedes evitar que te roben el coche al menos que paguen las multas).
Leo ayer: La SGAE cursa denuncias contra los usuarios de Kazaa, Emule, etc… y «estos» no podrían cursar denuncias al spam.
Lo que nos faltaba….
¿Por que los gobiernos no ponen fuertes sanciones a los spammers?
Ahí está el problema.