CAPTCHA: ¿solución para la seguridad informática o problema para la accesibilidad/usabilidad web?

---

RESUMEN

Los CAPTCHA, las pruebas humanas interactivas más utilizadas, aparecen como un método de diferenciación entre usuarios humanos y máquinas para brindar seguridad a la información en internet y evitar el spam, especialmente. Por ello, se hace una presentación introductoria de las pruebas humanas interactivas, para luego profundizar en los CAPTCHA, donde se trata su evolución, su clasificación, especificando sus técnicas de generación, algunas de sus aplicaciones y los tipos de ataques a los que se ven sometidos. Después, se tratan algunas repercusiones que han tenido sobre la usabilidad/accesibilidad de servicios de internet para usuarios humanos, lo que lleva a plantearse la inquietud de si los CAPTCHA, más que una solución, se han convertido en un nuevo problema por resolver.

Palabras clave: CAPTCHA, seguridad de información, pruebas humanas interactivas, usabilidad/accesibilidad

ABSTRACT

CAPTCHAs, which constitute the most widely used human interactive proofs (HIP), appear as a method of differentiation between human computer users and machines to provide security for information on the Internet and avoid spam, especially. Therefore, this paper makes an introductory presentation of HIPs, and then delves into CAPTCHAs, their evolution and classification, specifying their generation techniques, some of its applications and types of attacks to which they are subjected. It then discusses some implications that CAPTCHAs have had on usability/accessibility to the Internet services for human users, which leads to the question of whether they become a new problem, rather than a solution.

Keywords: CAPTCHA, security for information, interactive human proof, usability/accessibility

---

1. INTRODUCCION

La creciente oferta de servicios en internet y la acogida de ellos por parte de un número cada vez mayor de usuarios, ha llevado a establecer diversas técnicas para proteger la información de los ataques, especialmente aquellos de programas automatizados (conocidos como bots) que fungen como usuarios humanos.

Ante esta situación, aparecen las pruebas humanas interactivas, entre las cuales destacan los CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart, por sus siglas en inglés). Estos parten de la inteligencia artificial, y proponen retos -basados en texto o imágenes, y últimamente sonidos- aptos para ser rápidamente resueltos por seres humanos, pero difíciles para las computadoras. Sin embargo, esta solución ha implicado limitaciones para la accesibilidad/usabilidad de la web por parte de diversos usuarios, ante la complejidad de algunos CAPTCHA.

Es por ello que se pretende realizar un acercamiento a esta estrategia de seguridad de la información, y algunas de sus repercusiones sobre la accesibilidad/usabilidad de sitios web, no desde una posición terminante, sino como una incitación al debate académico sobre la efectividad integral de los CAPTCHA.

El documento se plantea en tres partes: inicialmente, explica de manera breve las pruebas humanas interactivas (HIP); luego aborda los CAPTCHA desde su evolución, clasificación, aplicaciones y ataques a los que están expuestos; finalmente, se hace una corta presentación de algunas repercusiones de estos sistemas sobre la usabilidad/accesibilidad para los usuarios en general (no solo aquellos con incapacidades, por ejemplo), debido al aumento de dificultad en su lectura para enfrentar los avances de los bots.

2. PRUEBAS HUMANAS INTERACTIVAS

En el marco de la utilización masiva de las tecnologías de la información y las comunicaciones (TIC), y debido a la cantidad de información personal e institucional en internet que requiere ser protegida, se han establecido técnicas para probar que se es humano al momento de ingresar o utilizar cierta información. Para ello, la biometría, en conjunto con otras disciplinas, tiene un interesante reto.

Tales técnicas se han denominado pruebas humanas interactivas, mejor conocidas como HIP, por sus siglas en inglés (Human Interactive Proofs), y permiten a una persona autenticarse como miembro de un grupo dado (por ejemplo, un humano en oposición a una máquina, una máquina determinada en oposición a otras, un adulto en oposición a un niño, etc.), mediante un desafío que el computador ofrece, el cual debe ser fácil de superar para el miembro, pero difícil para quien no lo sea (Areitio y Areitio, 2008, p. 62).

En otras palabras, el usuario humano demuestra su pertenencia a un grupo particular a través de un desafío/respuesta de protocolo, según lo expresan Shirali-Shahreza y Shirali-Shahreza (2008), quienes, además, señalan que la mayor parte de los HIP son de tipo gráfico (palabras, imágenes e inclusive videos). Esto les permite ser utilizados por personas con discapacidades, por ejemplo los sordos, a los que, cuando desean entrar en un sitio web específico para ellos, se les muestra una palabra a través de una película y ellos (que utilizan el lenguaje de signos) seleccionan la palabra que aparece en la lista.

3. CAPTCHA

Para Shirali-Shahreza y Shirali-Shahreza (2008), los métodos más utilizados para diferenciar automáticamente máquinas y humanos son los CAPTCHA (por sus siglas en inglés, Completely Automated Public Turing test to tell Computers and Humans Apart), los cuales están basados en inteligencia artificial. Son similares a la prueba de Turing, con la diferencia de que el juez es un equipo cuyo objetivo es hacer preguntas que los usuarios humanos podrán responder, pero las máquinas actuales no.

De acuerdo con Cabezas, Sabaté, Vendrell y Marcos (2014, párr. 1), los CAPTCHA son


Estos requieren inteligencia humana, por lo que “benefician al propietario de un sitio web porque filtran los no deseables robots spammers, y de paso pueden proporcionar mayor percepción de seguridad al usuario” (Cabezas et al, 2014, párr. 2).

Desde los inicios de internet, determinados usuarios han querido hacer el texto ilegible para los ordenadores. Los primeros fueron los hackers, que pensaban que los foros sobre temas sensibles eran supervisados automáticamente por ordenadores mediante palabras claves. Para evitar tales filtros, sustituían una palabra por caracteres idénticos. Por ejemplo, HELLO podría ser . A este método se le conoció más adelante como leet o leetspeak, como lo manifiestan Martínez y Prieto (2009).

En 1996, según Hernández y Ribagorda (2010, pp. 141-142), Moni Naor se convierte en pionero al mencionar algunas técnicas para diferenciar remotamente máquinas y humanos; en 1997 se utiliza por primera vez el motor de búsqueda de Altavista, cuando Andrei Broder y sus colegas desarrollan un filtro, mediante la generación de una imagen de texto impreso al azar que el sistema de reconocimiento de caracteres de las máquinas no puede leer. Cinco años más tarde, reconocieron que el sistema había reducido más del 95% de correo basura en poco más de un año.

Sin embargo, el término CAPTCHA se comienza a utilizar en el año 2000 en la Universidad de Carnegie Mellon, y responde a un juego de palabras, ya que la pronunciación de la palabra recuerda a catch ya, una versión informal de I catch you (te cojo o te pillo), según señalan Martínez y Prieto (2009). Allí, informan Hernández y Ribagorda (2010, p. 142), Udi Manber de Yahoo! presenta los bots³ y la necesidad de evitarlos en los chat, para lo que los profesores Manual Blum, Luis A. von Ahn y John Langford desarrollan un gimpy, con palabras en inglés, al azar, presentado como una imagen de texto impreso con una amplia variedad de deformaciones y distorsiones, incluyendo la imágenes superpuestas de palabras diferentes.

3.1 Tipos de CAPTCHA

Los CAPTCHA, de acuerdo con Shirali-Shahreza y Shirali-Shahreza (2008), se clasifican fundamentalmente en métodos basados y no basados en OCR (Optical Character Recognition, por sus siglas en inglés)⁴. En los primeros, los más conocidos y usados en la actualidad, se presenta la imagen de una palabra con una distorsión de diversos efectos, la cual debe ser escrita por el usuario y, debido a los efectos pictóricos, no podrá ser reconocida por el equipo. Para su creación, se acostumbra llevar a cabo un procedimiento general (elegir una palabra de un diccionario predefinido, aplicar un formato a la palabra y convertirla en imagen y degradar la composición mediante distorsión), en el que se diferencian los métodos de generación por medio de los algoritmos de elección de palabras/diccionarios, el formato aplicado a los caracteres y las degradaciones realizadas sobre las imágenes.

En el segundo grupo se presentan imágenes cuyos retos implican, para resolverlos, dar clic en una zona específica de la imagen, identificar una serie en las imágenes, mover algún componente de ella, o incluso formar cadenas de caracteres con las iniciales de los objetos representados. Una de las principales razones por las que los CAPTCHA basados en imágenes son vulnerables frente a ataques, es que en casi ninguna de las técnicas existentes estas son distorsionadas para evitar el reconocimiento de una máquina.

Adicionalmente, para Yan y Salah (2008), existen los sistemas basados en sonido (o los sistemas de audio), los cuales, por lo general, requieren de reconocimiento de voz para resolver una tarea.

En la tabla 1 se presentan algunas técnicas de generación de CAPTCHA separadas según si están basadas en texto o en imagen. De igual manera, en la tabla 2 se presenta una comparación realizada por Saquinaula (2013).


3.2 Aplicaciones de los CAPTCHA

Los CAPTCHA, como sistemas que diferencian personas de máquinas, tienen multiplicidad de aplicaciones relacionadas con la seguridad en diferentes sectores de la sociedad actual. Algunas de ellas, de acuerdo con von Ahn, Blum, Hopper y Langford (2003), son:

- Encuestas por internet. A partir de la experiencia de Slashdot⁵ apareció la necesidad de crear un mecanismo para evitar que las encuestas por internet fueran amañadas mediante el uso bots y así asegurar que los votos provinieran de personas y no de máquinas.
- Servicios gratuitos de correo electrónico. Hoy en día muchas empresas proporcionan servicios de correo electrónico gratuito, y la mayoría de ellas son vulnerables a ataques de bots, que pueden solicitar miles de cuentas de correo en un minuto. Esta situación se soluciona fácilmente si se pide a los usuarios identificarse como humanos antes de obtener su cuenta.
- Motores de búsqueda. Los bots de indexación de los motores de búsqueda recorren internet para poder localizar páginas web y añadirlas a sus índices. Aunque algunos sitios web utilizan una etiqueta HTML para no ser incluidos en los motores de búsqueda, esto no asegura que no sean localizados ni que su código HTML no sea recorrido por un bot. Para evitar que la privacidad de esta página sea violada por bots, es necesario recurrir a un CAPTCHA.
- Correo electrónico en cadena y spam. Los retos CAPTCHA también son utilizados como solución para evitar el envío de cadenas de correo electrónico o spam. De esta forma, sólo son aceptados aquellos correos cuyo emisor haya probado que es una persona.
- Prevenir ataques de diccionario. Una aplicación algo más novedosa es el uso de CAPTCHA para prevenir los ataques de diccionario de sistemas de autenticación mediante contraseña. La idea es muy sencilla y se basa en evitar que una máquina pueda probar ilimitadamente todas las palabras clave que desee. Esta técnica la implementan sistemas tan populares como Twitter, y permite realizar tres intentos fallidos al introducir la contraseña, el resto de oportunidades deben ser validadas por un CAPTCHA.

3.3 Ataques contra CAPTCHA

Tal y como sucede con cualquier tipo de aplicación usada para prevenir el uso ilícito de un servicio, los CAPTCHA son susceptibles a ataques, y dado su uso principal en la protección en el registro a correo web mediante formularios, la mayor cantidad de ataques proviene de los spammers, quienes sostienen una constante búsqueda de registro y uso gratuito de múltiples cuentas de correo. Aunque aquí se mencionarán algunos de los ataques más conocidos, es importante tener en cuenta que estos se mantienen en constante desarrollo, al igual que los esfuerzos por prevenirlos, por lo que “realmente siempre ha sido claro para los creadores de captchas que estos tendrán una vida útil determinada y solo un alto porcentaje (se espera que muy alto) de efectividad” (Elizondo, 2008, p. 77).

3.3.1 Romper un CAPTCHA resolviéndolo automáticamente

La firma de seguridad Websense (2012) ha informado sobre una nueva versión del troyano Cridex que permite vulnerar el servicio CAPTCHA ubicado por Yahoo en su formulario de registro, y así acceder a múltiples cuentas de correo electrónico para usarlas como cuentas de envío masivo. En el informe se muestra cómo, luego de cinco intentos fallidos, el troyano logra solucionar el desafío CAPTCHA. Sin embargo, es pertinente señalar que, además de la nueva variante de Cridex, existen múltiples programas destinados a solucionar los caracteres que aparecen en un CAPTCHA de forma automática.

3.3.2 Método de resolución semiautomático

Baquia (2008) informa que una investigación elaborada por TrendLabs alerta de la aparición de un método semiautomático empleado por ciberdelincuentes para sortear estos controles de seguridad, cuyo proceso consiste en que, primero, un programa robot visita la página de inscripción de un webmail y diligencia el formulario con datos aleatorios y cuando aparece la verificación CAPTCHA, el programa envía el mensaje a un terminal informático ubicado en India, donde los trabajadores introducen la combinación correcta de letras y números y vuelven a enviar la información al programa robot. Este introduce la clave y completa el proceso de registro, permitiendo así a los creadores de spam el acceso gratuito a las cuentas de correo, desde las cuales comienzan a distribuir los mensajes entre miles de cuentas de correo legítimas.

3.3.3 Vulnerar el algoritmo de generación de CAPTCHA

El algoritmo ejecutado para generar los CAPTCHA puede ser vulnerado con el fin de conocer el texto antes de que sea presentado al usuario; sin embargo, este tipo de ataque es difícil de completar debido a que los algoritmos modernos están muy bien desarrollados, son de código abierto y revisados por múltiples personas, lo cual implica invertir gran cantidad de recursos para romper este tipo de lógica. La probabilidad de la vulneración se incrementa cuando un proveedor de servicio usa un sistema de generación de CAPTCHA muy antiguo, a diferencia de los reCAPTCHA⁶, muy seguros en este aspecto.

3.3.4 Resolver el CAPTCHA manualmente

Este tipo de ataque puede sonar contradictorio, ante la siguiente pregunta: ¿si se tiene la opción de atacar un CAPTCHA de manera automática, para qué se pretendería realizar un ataque que lo resuelva manualmente? La razón es sencilla: si los CAPTCHA son creados para ser resueltos por humanos, la forma más sencilla de solucionarlo es por un humano, cuyas opciones para conseguirlo son:

- Embeber el CAPTCHA que se quiere romper dentro de otro servicio web, el cual es ejecutado por el atacante; por ejemplo, un atacante puede tomar un CAPTCHA del formulario de registro de Gmail, presentarlo a un usuario y pedirle que lo resuelva para puede tener acceso a cierto tipo de contenido. En este caso, el usuario resuelve la prueba por el atacante y este puede completar el resto del formulario automáticamente y así tener acceso a una cuenta de correo que puede usar para spam.
- Resolver los CAPTCHA mediante la contratación de personas para descifrar tantos como puedan. Por ejemplo, spammers pueden pagar a un programador para agregar imágenes y alimentar una a una a un operador humano, y estas fácilmente podrían ser verificadas por cientos de usuarios cada hora. La eficacia de sistemas de verificación visuales es baja, y su utilidad es anulada una vez que son explotados (May, 2005).

Luego de realizar un estudio experimental sobre los CAPTCHA sonoros para descubrir la diferencia entre el nivel de comprensión del ser humano en distintas pruebas con sonidos que los usuarios deben descifrar, y el de un reconocedor de voz automático, García (2013, p. 85) señala que:

- la tecnología actual de reconocimiento de voz está bastante lejos de poder resolver CAPTCHA sonoros con garantías;
- los CAPTCHA sonoros son algo más complicados de resolver que los gráficos, aunque, a la vez, son bastante más seguros;
- el reconocedor de voz no fue capaz de reconocer ninguno de los CAPTCHA con ruido de fondo, y de los que se les eliminó el ruido, no reconoció ninguno completo;
- como los CAPTCHA son un sistema seguro que resuelve la mayoría de usuarios, se presenta gran cantidad de errores en las pruebas con usuarios;
- los parámetros que provocan en mayor medida los fallos son la combinación de una menor distancia entre la pronunciación de los números y la velocidad de pronunciación.

4. CAPTCHA Y ACCESIBILIDAD/USABILIDAD

A manera de aclaración sobre los términos accesibilidad y usabilidad, se recurre a De óleo y Rodríguez (2013):


Es innegable que, a medida que se usan técnicas en los CAPTCHA para disminuir la posibilidad de que métodos automatizados puedan fungir como humanos, aumentando el ruido y las deformaciones de la imagen, como efecto colateral aumenta la dificultad para los usuarios, se conduce a altas tasas de error y, con ello, a mucha frustración.

A manera de confirmación de esto, Cabezas et al. (2014) citan la prueba a 318.000 CAPTCHA de 21 tipos (13 basados en textos, números o imágenes, y ocho sonoros), llevada a cabo a través de la plataforma Amazon Mechanical Turk, con un mínimo de tres personas por cada uno, donde se detectó la dificultad para resolverlos, especialmente los de audio, cuya dificultad aumenta para quienes no son hablantes nativos del idioma utilizado. Los autores aseguran, además, que diversas razones llevan a los usuarios a rendirse o a no tener una buena experiencia:


Cabezas et al. (2014) realizaron una prueba que consistía en resolver diez CAPTCHA, responder la pregunta de facilidad y contestar un test de veinte preguntas para valorar la satisfacción percibida en cuanto a la usabilidad y la utilidad de este sistema. En los resultados resaltan aspectos como:

- los usuarios inicialmente perciben como más fáciles aquellos CAPTCHA con los que están más familiarizados (los llamados reCAPTCHA), que en realidad han resultado ser los peor resueltos;
- otros tipos de CAPTCHA, concretamente los que están basados en imágenes y en los que los usuarios deben identificar elementos o conceptos, no se perciben como fáciles de resolver en un inicio; tras enfrentarse a ellos esta percepción cambia radicalmente, en unos casos, de forma muy positiva y se mantiene negativa en otros;
- los CAPTCHA de creación propia son percibidos como más difíciles, a pesar del grado de acierto mayor respecto de los re-CAPTCHA, resultado acorde con la idea de que los usuarios perciben como fácil aquello que ya conocen;
- las mayores puntuaciones en percepción de eficacia y facilidad, las tienen dos pruebas basadas en la identificación de imágenes, lo cual indica que este tipo de sistemas es más eficaz y se percibe como fácil de resolver por parte de los usuarios;
- el CAPTCHA semiótico (interpretación de imagen: manos), resuelto por el 100% de los participantes, debería de explorarse más, dado el alto grado de eficacia que presenta.

Por ello, para Gossweiler, Kamvar y Baluja (2009), la creación de un CAPTCHA sugiere la necesidad de evaluaciones de usabilidad, para garantizar que las personas puedan resolverlo en una cantidad de tiempo y con tasas de éxito razonables. Por ejemplo, al evaluar un CAPTCHA que requiere de los usuarios ajustar las imágenes con giro aleatorio en su orientación vertical, se encontró resulta familiar para muchas personas que usan cámaras digitales, teléfonos celulares con cámaras, e incluso que clasifican fotografías físicas.

Entre algunos ejemplos sobre los inconvenientes en la usabilidad de los CAPTCHA, se encuentran:

- Un informe del Grupo de Trabajo del W3C indica que los CAPTCHA pueden suponer un importante problema de accesibilidad para usuarios ciegos, con baja visión, o que tienen una discapacidad de aprendizaje como la dislexia, pero no se discutió cómo mejorar la usabilidad de los CAPTCHA, aunque se reconoció que deben ser ‘amigablemente humanos’ (Yan y Salah, 2008).
- Desde la aparición de los CAPTCHA, resultó claro que excluían de contestar correctamente no solo a las computadoras, sino también a los ciegos. Esto va en contra de la tendencia de volver la computación cada vez más accesible para los diferentes tipos de personas con discapacidad, lo que llevó al desarrollo de CAPTCHA auditivos, los cuales presentan una grabación de letras y números a los que se sobreponen ruidos (Elizondo, 2008, p. 76).
- La distorsión tiene un claro impacto en la usabilidad de letras cifradas, ya que para los usuarios humanos sería difícil o imposible reconocer el exceso de caracteres distorsionados. Según señalan Yan y Salah (2008), algunos casos típicos que llevan a confusiones al estar distorsionadas, se presentan al tratar de diferenciar S de 0, 6 de G y B, 5 de S/s o de 6, 2 de Z/z, 1 de l, 7 de 1, 8 de 6 o 9, ‘vv’ de ‘w’, ‘cl’ de ‘d’, ‘nn’ o ‘rn’ de ‘m’, ‘rm’ de ‘nn’, ‘cm’ de ‘an’, así como un arco de J. En los CAPTCHA de audio también se presentan confusiones, como en los casos de ‘p’ y ‘b’; ‘g’ y ‘j’; ‘a’ y ‘8’.

5. CONCLUSIONES

No hay desacuerdo alguno sobre la imperante necesidad de proporcionar seguridad a la información personal e institucional colocada en internet, que se incrementa exponencialmente día a día, ante la gran cantidad y constante posibilidad de ataques informáticos. Sin embargo, con soluciones como los CAPTCHA se han logrado resultados en relación con esto, aunque, de manera paralela y quizás insospechada, los CAPTCHA dificultan la accesibilidad/usabilidad de los usuarios a diversos servicios en el marco de la sociedad de la información y el conocimiento, situación que agrava la brecha digital existente. Lo anterior, antes que desvirtuar tal solución, pretende servir de aliciente para el debate académico sobre su efectividad integral, a partir de la pregunta que sirve de título al presente documento.

6. REFERENCIAS

Areitio, J. y Areitio, T. (2007). Análisis en torno a la tecnología biométrica para los sistemas electrónicos de identificación y autenticación. Revista española de electrónica, (630), 52-67.

Baquía (2008). Romper un captcha sale barato [Blog]. Recuperado de http://www.baquia.com/posts/romper-un-captcha-sale-barato

Cabezas, V., Sabaté, A., Vendrell, A. y Marcos, M. C. (2014). Experiencia de usuario y captchas, explorando la semiótica visual. No Solo Usabilidad, 13. Recuperado de www.nosolousabilidad.com/articulos/usabilidad_captchas.htm?

De Oleo, C. y Rodríguez, L. (2013). Pautas, métodos y herramientas de evaluación de accesibilidad web. Ventana Informática, (28), 99-115.

Elizondo, F. J. (2008). Enredándose, CAPTCHA. Ingenierías, 11(38), 74-78.

García, F.J. (2013). Experimentación con CAPTCHA sonoros (Tesis de grado). Universidad de Valladolid, Valladolid, España.

Gossweiler, R., Kamvar, M. y Baluja, S. (2009). What’s Up CAPTCHA?: A CAPTCHA Based On Image Orientation [¿Qué pasa CAPTCHA:? Un CAPTCHA basado en orientación de imagen]. En 18th international conference on World wide web WWW'09 [18va Conferencia internacional en World Wide Web] (pp. 841-850). Nueva York, NY, EE.UU.: ACM. doi: 10.1145/1526709.1526822

Hernández, C. J. y Ribagorda, A. (2010). Pitfalls in CAPTCHA design and implementation: The Math CAPTCHA, a case study [Errores en el diseño e implementación CAPTCHA: El CAPTCHA de Matemáticas, un estudio de caso]. Computers & Security, 29(1), 141-157.

Martínez, D. y Prieto, O. (2009). Servicios Accesibles de Acceso Exclusivamente Humano. En Segunda Conferencia Internacional sobre brecha digital e inclusión social (pp. 1-12). Universidad Carlos III de Madrid y Universidad de Costa Rica. Leganés, Madrid, España. Recuperado de http://orff.uc3m.es/bitstream/10016/10622/1/servicios_accesibles_CIBD_09.pdf

May, M. (2005). Inaccessibility of CAPTCHA: Alternatives to Visual Turing Tests on the Web [La inaccesibilidad del CAPTCHA: Alternativas a las pruebasvisuales de Turing en la Web]. W3C Working Group Note. Recuperado de http://www.w3.org/TR/turingtest

Mori, G. y Malik, J. (2003). Recognizing Objects in Adversarial Clutter: Breaking a Visual CAPTCHA [Reconociendo objetos en Clutter adversario: Fracturando un CAPTCHA visual]. En IEEE Computer Society Conference on Computer Vision and Pattern Recognition, CVPR’03 [IEEE Conferencia de la Sociedad en Computación en Visión por Computadora y Reconocimiento de Patrones]. IEEE. Recuperado de http://www.cs.sfu.ca/~mori/research/papers/mori_cvpr03.pdf

Saquinaula, G.R. (2013). Análisis del CAPTCHA: caracyerísticas, problemática y aplicaciones. (Tesis de grado). Universidad Tecnológica Israel, Quito, Ecuador.

Shirali-Shahreza, M. y Shirali-Shahreza, S. (2008). Encouraging persons with hearing problem to learn sign language by Internet websites [Alentar las personas con problemas de audición para aprender el lenguaje de signos por los sitios web de Internet]. En Eighth IEEE International Conference on Advanced Learning Technologies, ICALT '08 [Octava Conferencia Internacional IEEE sobre Tecnologías Avanzadas de Aprendizaje]. IEEE. Recuperado de http://ftp.informatik.rwth-aachen.de/Publications/CEUR-WS/Vol-345/paper8.pdf

Vázquez, A. M. (2010). Diseño e implementación de un protocolo seguro de intercambio de mensajes con un dispositivo seguro (Proyecto final de graduación). Universidad Carlos III de Madrid, Madrid, España.

Von Ahn, L., Blum, M., Hopper, N. J. y Langford, J. (2003). CAPTCHA: Using hard AI problems for security [CAPTCHA: Usando problemas duros de la IA para la seguridad]. En 22nd international conference on Theory and applications of cryptographic techniques EUROCRYPT'03 [22a Conferencia Internacional sobre Teoría y Aplicaciones de las Técnicas Criptográficas]. International Association for Cryptologic Research (IACR).

Websense. (2012). Trojan caught on camera shows CAPTCHA is still a security issue [Trojan captado por la cámara muestra CAPTCHA es todavía un tema de seguridad] [Blog]. Recuperado de http://community.websense.com/blogs/securitylabs/archive/2012/01/30/trojan-caught-on-camera-shows-captcha-is-still-a-security-issue.aspx

Yan, J. y Salah El Ahmad, A. (2008). Usability of CAPTCHAs or usability issues in CAPTCHA design [Usabilidad de CAPTCHAs o problemas de usabilidad en el diseño de CAPTCHA]. En 4th symposium on Usable privacy and security, SOUPS '08 [Cuarto simposio sobre la privacidad utilizable y la seguridad]. ACM.