ChatGPT supera la principal defensa de Internet: los CAPTCHA ya no distinguen entre humanos y bots
Veinte años protegiendo sitios web… y un experimento con IA derribó el sistema.
Investigadores de la empresa SPLX demostraron que es posible engañar a ChatGPT con indicaciones especialmente diseñadas y obligarlo a resolver pruebas CAPTCHA —una tarea que tradicionalmente se consideraba accesible solo para humanos. Este experimento pone en duda la fiabilidad del mecanismo que durante años se ha utilizado para proteger sitios contra el spam y los ataques automatizados.
Las CAPTCHA se crearon originalmente como un filtro: imágenes, problemas lógicos o elementos de la interfaz debían confirmar que ante el sistema hay un usuario real y no un bot. Y si un gran modelo de lenguaje, con una determinada secuencia de instrucciones, puede superar estas comprobaciones, eso trastoca toda la seguridad en internet contemporánea.
Según el investigador Dorian Schulz, si se pedía directamente a la red neuronal resolver una lista de CAPTCHA, el sistema se negaba, alegando una prohibición en la política de uso. Entonces el equipo siguió otro camino: prepararon un diálogo en el que supuestamente se discutían pruebas "falsas" y convencieron al modelo de que solo trabajaría con ellas. En la conversación ChatGPT señaló que consideraba la tarea interesante desde el punto de vista del razonamiento y accedió a participar con la condición de que no infringiera las normas.
Los siguientes pasos fueron así: los investigadores abrieron una nueva sesión con ChatGPT-4o, copiaron allí el texto del chat anterior y lo presentaron como continuación de la conversación. El agente aceptó las condiciones y de inmediato se puso a buscar la solución. Rindió especialmente bien en las comprobaciones de un solo clic, en los problemas lógicos y en el reconocimiento de texto. Resultó más difícil con las imágenes que requerían mover o girar elementos; sin embargo, en varios casos las respuestas también fueron correctas.
Schulz subrayó que, según el conocimiento de su equipo, este es el primer caso documentado de un agente GPT que supera con éxito CAPTCHA gráficas complejas. La pregunta de cuánto tiempo más estas pruebas podrán seguir sirviendo de protección en la era de sistemas de IA cada vez más capaces resulta ahora especialmente urgente.
OpenAI no respondió a la solicitud de comentarios de los periodistas. Sin embargo, ya se habían registrado casos de elusión de restricciones mediante la llamada inyección de instrucciones. En esa misma semana, especialistas de Radware demostraron que se puede obligar al asistente, con una única carta correctamente redactada, a revelar secretos de Gmail. El mes pasado Amazon corrigió vulnerabilidades en Q Developer que permitían insertar indicaciones maliciosas e incluso ejecutar código de forma remota.
El experimento de SPLX demuestra que incluso mecanismos básicos de protección, como las CAPTCHA, dejan de ser una barrera fiable. Con el aumento de las capacidades de los modelos generativos, las fronteras entre el ser humano y el sistema automatizado en este tipo de verificaciones se vuelven cada vez menos distinguibles.
¿Estás cansado de que Internet sepa todo sobre ti?