O que é o CAPTCHA? Tudo o que precisa de saber

A sigla CAPTCHA refere-se a “Completely Automated Public Turing test to tell Computers and Humans Apart”. Em português, o significado de CAPTCHA é “teste de Turing público, totalmente automatizado, para distinguir entre computadores e humanos”.

O cientista de computação, matemático e filósofo Alan Turing criou, em 1950, o conceito do teste pelo qual uma máquina deveria passar de modo a que um observador humano não pudesse distinguir, com segurança, se quem dava as respostas era a máquina ou outro ser humano. Se a máquina conseguisse confundir o observador, teria passado no teste. O CAPTCHA é um teste de Turing ao contrário: em vez de a máquina se disfarçar de humana perante um humano, é o utilizador humano que prova à máquina não ser uma máquina.

Na internet, o triângulo é constituído por si enquanto utilizador, pelo website (máquina) e pelo ciberatacante (outra máquina) que o tenta invadir. O CAPTCHA é uma proteção contra spam e desencriptação de senhas, colocando um teste simples que permita ao utilizador demonstrar que é um ser humano e não um bot a tentar aceder, por exemplo, a uma conta protegida por password.

Os websites que implementam um teste CAPTCHA visam impedir que bots perturbem a sua atividade e utilizem os seus recursos de forma ilícita ou inadequada.

Quando o utilizador encontra uma mensagem que diga algo como “erro CAPTCHA”, o que é que isso significa? Significa apenas que não passou no teste e que está a digitar as letras erradas, que errou no resultado da conta, que clicou nas imagens erradas, etc. Logo, é preciso solicitar um novo teste CAPTCHA para que o utilizador humano garanta que não é um software.

A experiência de ter uma máquina a exigir-nos que demonstremos não ser robôs pode parecer vagamente assustadora. Mas ao compreendermos o que é um CAPTCHA e como é simples um website ser agredido por cibercriminosos, através de programas informáticos, percebemos que por trás das máquinas estão apenas mais seres humanos:

• Os donos do website ou responsáveis do serviço;
• Os hackers que enviam bots para invadir ou atacar websites (e lançar todo o tipo de ciberataques e golpes online pela internet fora).

Se a sua empresa ou organização tem um site ou serviço online destinado ao público, já pensou se precisará de um CAPTCHA para se defender?

O CAPTCHA é mesmo necessário?

À cabeça, o CAPTCHA oferece proteção contra programas do tipo “scraper” que queiram copiar e registar o endereço de e-mail dos utilizadores. Os spammers começam por rastrear a internet à procura de endereços de e-mail publicados em texto aberto, de modo a construir bases de dados. Utilizando CAPTCHA, um site protege-se desta ação. Ao utilizador é pedido que resolva um CAPTCHA antes que um endereço de e-mail seja apresentado.

Mas há muitos outros perigos contra os quais o CAPTCHA serve de barreira:

• ataques DDoS
• ataques de spam de comentários, ou similares, lançados por botnets
• ataques de ransomware ou phishing lançados sobre formulários
• Etc.

O próprio Google utiliza um CAPTCHA se suspeitar que o utilizador está a fazer pesquisas em série, demasiado rápidas, e possa portanto ser um bot.

Daí que, embora pareça algo irritante para o utilizador, o CAPTCHA seja atualmente incontornável enquanto medida de segurança. Mas poderemos estar a chegar a uma era em que ele se torna invisível, como veremos em seguida.

O CAPTCHA funciona tal e qual como aparece aos utilizadores que se deparam com ele num site ou formulário: obrigando o utilizador a realizar um teste, tarefa ou desafio de forma rápida para provar que é humano. As tarefas dos testes foram concebidas para que um bot não possa responder-lhes.

O CAPTCHA compara as respostas dadas pelo utilizador com a informação com que foi carregado; se coincidir, o utilizador pode prosseguir.

Quando surge um teste CAPTCHA

Normalmente os sites colocam testes CAPTCHA fixos, em certos pontos de acesso; porém, o próprio comportamento do utilizador pode ativar um teste CAPTCHA, especialmente se se assemelhar ao de um robô.

Para usar uma analogia com a segurança rodoviária, os CAPTCHA podem ser radares de velocidade média fixos (sempre no mesmo ponto) ou “operações Stop” direcionadas a condutores suspeitos.

O CAPTCHA pode surgir se:

• O programa analisar classes de endereços IP e identificar o do utilizador como pertencendo a um bot;
• existirem várias tentativas para carregar uma página;
• o utilizador não estiver logado no Google (é raro, atualmente!…)
• o browser do utilizador não apresentar histórico de navegação (assumindo que os cookies do site acedem a essa informação, comprometendo a privacidade)
• Etc.

Façamos seguidamente uma resenha dos principais tipos de “teste de Turing automatizado e público” que podemos encontrar na internet.

CAPTCHA de texto

Os CAPTCHAS de texto são o formato mais antigo. Atualmente só aparecem, normalmente, em sites mais antigos ou que não sentiram necessidade de se modernizar – ou de adotar um teste mais complexo.

O site apresenta uma combinação de letras e números ao utilizador, mas distorcida através de efeitos gráficos. Ao utilizador é pedido que insira numa caixa de texto a combinação mostrada. Se a distorção visual for grande, o utilizador poderá não perceber o que é mostrado e ter de repetir várias vezes.

CAPTCHA de imagem

Este formato é dos que tem vindo a substituir o teste de texto com mais frequência. Trata-se de apresentar ao utilizador um conjunto de imagens e pedir-lhe que identifique aquelas onde aparecem os objetos exigidos pelo teste. Algumas imagens mostram-nos e outras não.

À medida que o utilizador clica, outras imagens surgem para substituir as clicadas. Quando não existirem mais imagens com o objeto mencionado, o utilizador deve clicar em “continuar”; se tiver acertado, passou no teste.

Estes testes são mais avançados, mas também mais difíceis de superar para quem sofrer de deficiência visual.

CAPTCHA áudio

A alternativa ideal para utilizadores com deficiência visual, são os CAPTCHAs de áudio que, contudo, são um obstáculo para quem sofra de deficiência auditiva. O utilizador deve ouvir uma sequência de letras e números, “falados” pelo sistema em forma de som, e depois inserir a mesma sequência na forma como foi emitida. Se falhar a sequência, deverá recomeçar o teste.

CAPTCHA de login numa rede social

Neste texto, pede-se ao utilizador que faça login numa conta numa rede social. Através da funcionalidade, o site preenche o formulário com os dados disponibilizados pela API da rede social.

Entretanto, o utilizador demonstrou que é um ser humano pelo facto de possuir uma conta legítima numa rede social (esperando-se que os bots existentes nas redes não consigam ludibriar este CAPTCHA).

No Captcha/ReCaptcha

No CAPTCHA reCAPTCHA é um tipo de teste mais avançado, lançado pela Google em 2014 e disponibilizado em API (interface de programação de aplicações) para poder ser utilizado por programadores e webmasters.

O conceito baseia-se na centralização, por parte do Google, do essencial do esforço de identificação do utilizador (enquanto humano ou robô), ao mesmo tempo que se procurava neutralizar bots capazes de ludibriar os testes CAPTCHA de primeira geração. Tirar trabalho ao utilizador significa que, no melhor dos cenários, ele só tem de clicar numa caixa onde diz “não sou um robô” para passar no teste.

Nem sempre isso é (ou tem sido) possível, pois a evolução dos bots e da ferramenta obriga a que por vezes o CAPTCHA do Google acabe por pedir para clicar em imagens ou para inserir um número de três algarismos. Porém, recorrendo à análise de alguns parâmetros, o teste poderá precisar apenas de um clique para confirmar a natureza humana do utilizador:

• Se ele estiver logado no Google, como vimos acima;
• O histórico de navegação;
• Que cookies tem armazenados;
• Etc.

A versão mais recente do No CAPTCHA reCAPTCHA não exige nenhum tipo de ação ao utilizador; simplesmente conclui que ele é humano analisando os diferentes parâmetros e dados a que tem acesso. Isso significa que a internet poderá estar a “voltar ao início”, no sentido em que o CAPTCHA nunca seja imposto ao utilizador; simplesmente, o respetivo trabalho de segurança ocorrerá nos bastidores.

Mas para que tal aconteça será necessário fornecer informação à Alphabet sobre as suas atividades correntes na internet. Para os utilizadores mais preocupados com a segurança e a privacidade da sua vida online, será talvez preferível continuar a responder aos CAPTCHAs manuais que sejam apresentados.

Problemas de matemática, palavras ou quebra-cabeças

Os CAPTCHAs de matemática pedem ao utilizador que resolva um problema de aritmética simples, geralmente uma soma ou multiplicação. Nalguns casos, para evitar que o bot tente responder por tentativa e erro, o teste apresenta os dados da pergunta distorcidos, como nos CAPTCHAs de texto mais antigos.

Os testes de palavras, no mesmo sentido, pedem a introdução de uma palavra em falta numa interrogação, frase ou sequência.

Já os CAPTCHAs de quebra-cabeças pedem ao utilizador que arraste imagens para formar um determinado conjunto ou cumprir uma determinada condição. Tal como os de matemática e de palavras, são geralmente muito simples.

A utilização de CAPTCHAs é um imperativo para qualquer site, atualmente. De uma forma mais automatizada (e intrusiva) ou mais manual (e portanto aparentemente mais “chata”), este instrumento de defesa contra bots não desaparecerá tão cedo. Os CAPTCHA:

• 

  São eficazes enquanto medida de segurança, contra ataques DDoS, malware e solicitações de bots;
• 

  Ajudam a conservar a integridade dos dados armazenados e/ou recolhidos, protegendo os resultados de atividades como inquéritos online;
• 

  Melhoram a segurança das compras online, evitando inscrições falsas e manipulação de bases de dados;
• 

  Protegem contra “spammers”, dificultando a recolha de endereços de e-mail para posterior lançamento de manobras de phishing ou similares.

Importa acrescentar que a implementação de CAPTCHA é simples e grátis, facilitando a sua adoção.

Contudo, com o avanço tecnológico, os bots estão a tornar-se cada vez mais eficientes e capazes de iludir os testes. Tecnologias emergentes de inteligência artificial, como o ChatGPT e outros modelos de linguagem, poderão facilitar a tarefa dos hackers de criar bots capazes de ultrapassar esta barreira.

Além disso, é importante reconhecer as desvantagens do CAPTCHA:

• 

  A qualidade da experiência do utilizador, durante a visita ou navegação num site ou portal, sofre;
• 

  Nem todos os CAPTCHAs são compatíveis com todos os navegadores;
• 

  Utilizadores com deficiência podem, como vimos acima, ter dificuldades com testes clássicos baseados em imagens ou sons.

Existem extensões de navegador que ajudam a contornar os CAPTCHAs, mas é recomendável não utilizá-las, pois podem representar riscos de segurança. Além disso, os reCAPTCHAs mais recentes envolvem o rastreamento da atividade de navegação, como vimos, tornando importante o uso de ferramentas adicionais de segurança, como uma VPN, para proteger os seus dados e a sua privacidade.

Os CAPTCHAs são geralmente seguros, mas não são à prova de hacking. CAPTCHAs são um instrumento precioso na luta contra bots que queiram aceder a secções sensíveis ou privadas de um site ou ajudem a gerar mensagens de spam. Além disso, como os reCAPTCHAs modernos determinam se o utilizador é ou não um robô rastreando o comportamento de navegação, isso tornar-se invasivo relativamente à privacidade do utilizador.

Para preservar a sua privacidade, é essencial utilizar uma VPN, especialmente ao navegar em redes Wi-Fi públicas. Uma VPN, como a da NordVPN, ajuda a manter a sua atividade online e o seu endereço IP privados. Pode até instalar uma VPN no seu telemóvel para manter-se protegido em qualquer lugar, bem como para aceder ao seu computador de casa ou da empresa ao abrigo do escudo de encriptação que torna a sua atividade praticamente indecifrável a terceiros, quer sejam gigantes tecnológicas como a Alphabet ou cibercriminosos com intenções malignas.