El captcha, la famosa prueba para diferenciar ordenadores de humanos, se ha convertido en un elemento esencial en webs que buscan reforzar la seguridad. Si bien su funcionamiento ha mejorado con el paso de los años, son muchos los curiosos que buscan la forma de engañarlos por medio de procesos automatizados, haciéndoles creer que son personas quienes superan el test.

George Hughey, un ingeniero en ciencias de la computación, subió a GitHub un sistema para derrotar los captcha de Google con gran facilidad. Se trata del unCaptcha2. Lo más curioso —y preocupante— es que usa herramientas de la propia Google para lograr su propósito. La primera versión del programa fue bastante popular, pero los de Mountain View se protegieron tras algunas actualizaciones.

El procedimiento consiste en realizar el desafío de audio del reCAPTCHA, descargar el audio y escribirlo en el campo de texto gracias a la API "Speech-to-Text" de Google. Por supuesto, todo ocurre de manera automatizada. Según su responsable, el software tiene un 90% de precisión en todas las pruebas, superando al primer unCaptcha que alcanzaba el 85%.

Su único inconveniente es que el usuario debe especificar las coordenadas de la pantalla, las cuales se obtienen de diferente forma dependiendo el sistema operativo. También es obligatorio configurar las credenciales para la API mencionada, el software incluye las variantes de tres compañías: Google, IBM y Microsoft. Todas mostraron un buen desempeño.

Hughey asegura que avisó al equipo de reCAPTCHA en junio del 2018, sin embargo, decidió esperar seis meses para hacerlo público y que Google tuviera la oportunidad de solucionarlo, situación que no ocurrió. A pesar de lo anterior, estuvieron de acuerdo en que liberaran el código.

Eso sí, el desarrollador advierte que no actualizará el repositorio cuando resuelvan el problema, de tal forma que el programa tiene los días contados. Seguramente en Google llevan varios meses trabajando en plantear un solución eficiente. Su tarea es complicada, pues deben mejorar la seguridad de reCAPTCHA sin perjudicar la API involucrada.