Aparte de ese detalle me habia dado cuenta antes de que sacaran el captcha que este podia ser facilmente vulnerado.

Pasos para evitar el captcha:

1. Ingresar tu RUT en http://www.servel.cl/consulta/resultado.aspx
2. En la pagina con tus datos hacer click en “Imprimir Comprobante Electoral”
3. Eso te redireccionara a una nueva pagina, en mi caso http://www.servel.cl/consulta/tarjeta.aspx?fl=1,442,151,3

Ahora pueden intentar meterse directamente al ultimo link que contiene el “Comprobante Electoral” el cual puede ser accedido sin necesidad de resolver ningun captcha.

Si analizamos el link podemos ver lo siguiente: fl=1,442,151,3. Cada numero representa lo siguiente:

• 1: Ni idea
• 442: Circunscripcion Electoral o Comuna (442 = Osorno)
• 151: Registro o Mesa
• 3: Inscripcion

Para ver el listado completo de circunscripciones pueden acceder a los siguientes links:

• Decima Region: http://www.servel.cl/servel/Controls/Neochannels/Neo_CH387/Deploy/REG10.txt
• Region Metropolitana: http://www.servel.cl/servel/Controls/Neochannels/Neo_CH387/Deploy/REG13.txt

Esperemos de que algun dia tengamos una ley de privacidad que exija ciertas medidas minimas de seguridad con multas que se apliquen a los organismos responsables y no a los desarrolladores o quienes publiquen las fallas.

UPDATE: Ahora el captcha consiste en solo 3 numeros… Shame on Them !


Primero que nada, tenemos que obtener la imagen del captcha. Luego la ‘limpiaremos’ con el ImageMagick con el siguiente comando:

Con lo que obtenemos la siguiente conversion:

Captcha Original

Captcha Nuevo

Luego crearemos el directorio ‘db’ en donde estamos trabajando y entrenaremos a GOCR para que aprenda a reconocer las imagenes que le iremos dando con la siguiente linea:

Entrenando a GOCR

[ el '#' es el caracter actual a escribir, el '0' son otros caracteres reconocidos, ',' son otras partes de la imagen que no tienen mayor importancia ]

La idea es repetir este proceso un buen numero de veces (10 o 20), y luego podemos probarlo con una nueva imagen:

Mas detalles pueden conseguirlo en ‘man gocr’, pero para los flojos les dejo los parametros utilizados:

• -a 30 <= Porcentaje de incertidumbre para aceptar un caracter
• -d 800 <= Tamaño minimo de un caracter, para eliminar el ruido
• -C 0123456789 <= Caracteres a reconocer
• -m 256 <= Modo de aprendizaje
• -m 130 <= Aprender
• -m 2 <= Reconocer

Obviamente todo esto no tendria sentido sin hacer un pequeño script en perl/python/php (todos empiezan con P!) para iniciar sesion, recuperar el captcha, leerlo, postearlo y obtener los datos uno a uno desde el servidor. Obviamente como a nadie le interesa que el admin del servidor sepa quienes somos, nos conectamos utilizando Tor.

Sitios de Interes:

• http://airdump.net/breaking-captcha/
• http://www.sinfocol.org/2008/08/de-captchas-y-otros-demonios/
• http://www.imagemagick.org/script/command-line-processing.php

UPDATE: Ahora el captcha consiste en solo 3 numeros… Shame on Them !

Luego de probar en el sitio Captcha Killer descubri que este puede reconocer sin problemas el texto que aparece en el capcha. Es mas ellos disponen de una API que permite automatizar el proceso de enviarles las imagenes y recibir la cadena de texto presente en esta.

Captcha Killer

El problema de esta solucion es que no arregla el problema de raiz, ya que todavia se puede automatizar el proceso sin mayores problemas. Por el contrario, ahora es mas dificultoso para usuarios con problemas visuales ya que no ofrecen la tipica opcion de escuchar el texto por si uno tiene problemas visuales y no logra decifrar el texto.

Asi como antes, todavia se pueden observar los siguientes datos asociados al rut:

• Nombre
• Sexo
• Registro
• Inscripcion
• Circunscripcion
• Comuna
• Region

Como yo no queria depender de un sitio web externo para decifrar el Captcha, decidi investigar como poder hacer todo el proceso en mi computador, lo cual publicare en otro post.