Benévolo reCAPTCHA de Google

Se libre

Hoy vengo a escribir sobre la nueva versión de reCAPTCHA v3 de Google, nueva versión que desde el año pasado se leían muchos rumores de ella y de lo que vendría para Internet, cambios que nunca han sido buenos en materia de privacidad, más viniendo de Google. La cuestión es que esta nueva versión es invisible, no tienes que estar rellenando casillas o presionando las chimeneas que veas en cada cuadro (eso ya es cosa del pasado) a continuación entras a cualquier sitio con dicha versión y reCAPTCHA y automáticamente te dejara acceder ya haciendo este la comprobación. Actualmente ya lo ejecutan 650.000 sitios web ¿qué tan bueno será? Ya lo verémos.

Todos durante muchos años hemos tenido que hacer uso de este gran detector de bots de Google, todo para llenar un formulario, iniciar sesión en “x” servicio o inclusive hasta solo para “observar” un sitio común y corriente de Internet, todo por la gran cantidad de granjas de bots que hay en la red, de cierta forma nos ha ayudado, pero por otro lado nos clava un gran puñal directo en la vertebra. En las peores experiencias de lado de reCAPTCHA ha estado el incomodo momento en que te quedas atascado en determinado sitio porque no has podido convencer al algoritmo de que no eres un robot ¿suena estúpido verdad? Mostrarle a un bot que eres verdaderamente humano, pues, cuestión que ha pasado tan a menudo que ha sido tema de memes y grandes historias. Pero el otoño pasado, Google lanzó una nueva versión de la herramienta, con el objetivo de eliminar por completo esa molesta experiencia del usuario. Ahora, cuando ingrese un formulario en un sitio web que usa reCaptcha V3 , no verá la casilla de verificación “No soy un robot”, ni tendrá que demostrar que sabe cómo es un gato. En cambio, no verá nada en absoluto.

Descripción
¡NO SOY UN ROBOT!

“Es una mejor experiencia para los usuarios. Todo el mundo ha fallado en un Captcha” dice Cy Khormaee, líder del producto reCaptcha en Google. En cambio, se supone que con la nueva versión Google le da al usuario una “puntación de riesgo” con la cual miden al usuario según que tan malicioso es su comportamiento y por lo cual las paginas debería confiar o no en dicha dirección, aunque se supone que es el sistema más robusto para frenar los bots y estafadores de Internet si que es cierto que para la privacidad es un punto que deja mucho de que hablar, inclusive Khormaee, el desarrollador detrás dice no compartir que “señales” detectará Google para identificar dicho comportamiento “malicioso” y por lo tanto puntuar al usuario para que acceda o no a determinado sitio, eso si que deja un mundo de posibilidades de lo que hay detrás o podría realizar ¿no crees? Es ir a ciegas con un algoritmo que puede perfilar todas las direcciones que llegan desde cualquier lado del mundo a Internet/servidor especifico.

Cosmic radiation

“Tienes que entender qué comportamiento debe ser en el sitio e imitarlo lo suficientemente bien como para engañarnos”, dice. “Ese es un problema realmente difícil en comparación con el problema general de ‘hacer como si fuera un ser humano'”. Los administradores del sitio web obtienen acceso a las puntuaciones de riesgo de sus visitantes y pueden decidir cómo manejarlas: por ejemplo, si un usuario con un Si intenta iniciar sesión con una puntuación de alto riesgo, el sitio web puede establecer reglas para pedirles que ingresen información de verificación adicional a través de la autenticación de dos factores. Como dijo Khormaee, “el peor de los casos es que tenemos un pequeño inconveniente para los usuarios legítimos, pero si hay un adversario, evitamos que su cuenta sea robada”.

Según el sitio web de estadísticas de tecnología Built With, más de 650.000 sitios web ya están usando reCaptcha v3; En general, hay al menos 4,5 millones de sitios web que utilizan reCaptcha , incluido el 25% de los 10.000 sitios principales. Google también está probando ahora una versión empresarial de reCaptcha v3, donde Google crea un reCaptcha personalizado para empresas que buscan datos más granulares sobre los niveles de riesgo de los usuarios para proteger los algoritmos de su sitio de usuarios maliciosos y bots.

Todo a costa de la privacidad.

Según dos investigadores de seguridad que le han puesto el ojo a reCAPTCHA han identificado que este determina si eres un usuario mal intencionado o no según las cookies de Google que tengas instaladas en tu navegador, si, esas mismas que utilizas para acceder diariamente a tu cuenta de Google sin tener que iniciar sesión todos los días ingresando tus credenciales. Según Mohamed Akrout , un estudiante de doctorado en ciencias de la computación en la Universidad de Toronto que ha estudiado reCaptcha, parece que Google también está usando sus cookies para determinar si alguien es un humano en las pruebas de reCaptcha v3. Akrout escribió en un artículo de abril sobre cómo las simulaciones de reCaptcha v3 que se ejecutaban en un navegador con una cuenta de Google conectada recibieron puntuaciones de riesgo más bajas que los navegadores sin una cuenta de Google conectada. “Si tienes una cuenta de Google, es más probable que seas humano”, dice. Google no respondió a preguntas sobre el papel que juegan las cookies de Google en reCaptcha.

Con reCaptcha v3, el consultor de tecnología Marcos Perona y las pruebas de Akrout encontraron que sus puntuaciones de reCaptcha siempre eran de bajo riesgo cuando visitaban un sitio web de prueba en un navegador en el que ya habían iniciado sesión en una cuenta de Google. Alternativamente, si iban al sitio web de prueba desde un navegador privado como Tor o una VPN, sus puntuaciones eran de alto riesgo.

Cosmic radiation

Lo peor de todo es que para que este sistema “funcione bien” es que Google incita a que el reCAPTCHA sea implantado en todos los sitios, no solo en el principal para iniciar sesión o realizar determinada acción sino también en el resto de sitios indexados a la web, todo para controlar las “fugas” aun asi el sistema aprende del movimiento de cada usuario para ir perfeccionando sus mitigaciones ¡da terror! Más cuando a los que nos preocupa la privacidad nos afecta directamente porque si o si nos verán siempre como “sospechosos” por lo tanto tendremos que pasar a un segundo plano para realizar una segunda verificación, si, leíste bien… todo si eres usuario de Tor Browser o de alguna buena VPN; un disparo por completo a nuestra privacidad.

Este tipo de recopilación de datos basada en cookies ocurre en otros lugares de Internet. Las empresas gigantes lo utilizan como una forma de evaluar a dónde van sus usuarios mientras navegan por la web, lo que luego se puede vincular para proporcionar publicidad mejor dirigida. Por ejemplo, la cookie reCaptcha de Google sigue la misma lógica del botón “Me gusta” de Facebook cuando está incrustado en otros sitios web: le da a ese sitio algunas funciones de redes sociales, pero también le permite a Facebook saber que usted está allí . Anteriormente, Google ha dicho que los datos capturados de reCaptcha no se utilizan para la segmentación de anuncios ni para analizar los intereses y preferencias de los usuarios. Después de que se publicó esta historia, Google dijo que la información recopilada a través de reCaptcha no será utilizada para publicidad personalizada por Google.

Yo seriamente creó que Google está utilizando una técnica muy especial para abordar todo el material de Internet, tal y como lo llamaria Perona (uno de los investigadores) como “acaparamiento de tierras en línea” y es que, reCaptcha es similar en este sentido a otros productos de Google como Accelerated Mobile Pages (AMP) (https://amp.dev/), un programa para hacer que las páginas de los sitios de noticias se carguen más rápido en los dispositivos móviles, pero ha causado cierta consternación en los editores sobre si Google está quitando el tráfico web de las noticias sitios. Lo mismo ocurre con Google Chrome, que el Washington Post llamó recientemente “software de vigilancia “( yo soy uno de los que han abandonado Chrome por Firefox ).

“Siempre es un arma de doble filo”, dice Perona. “Obtienes algo, pero también le estás dando a Google un poco más de control sobre todo en línea”. La ganancia es la seguridad y una mejor experiencia de usuario, pero la privacidad puede verse afectada.
Google no abordó ningún problema potencial de privacidad e insistió en que reCaptcha v3 es una cuestión de responsabilidad corporativa. Considera que reCaptcha v3 es una forma de garantizar una experiencia en línea segura y sin fricciones. “Google está profundamente integrado con Internet”, dice Khormaee. “Queremos hacer todo lo posible para protegerlo”.

TODA UNA GRAN TÁCTICA PARA GANAR TERRENO ¿Acaso no hay una alternativa real?

Pues, en Internet han salido proyectos alternativos, aunque no se ven tan potentes, tampoco tienen gran promocionalidad.


HCAPTCHA alternativa a reCAPTCHA de Google que dice ser más privada y operar ya en un 15% de Internet: En un reciente anuncio, hCAPTCHA indica que es el servicio independiente más grande de CAPTCHA de Internet. Para ello comentan estar operativos en un 15% de Internet, cuota que presumen haber quitado en gran parte a Google y su ya mítica reCAPTCHA. Un gran impulso para aumentar su cuota de mercado fue sin duda alguna la integración en Cloudflare. El gigante de Internet Cloudflare decidió dejar reCAPTCHA de Google en abril de este año y apostar por hCAPTCHA.

hCAPTCHa no solamente es un servicio gratuito, sino que además paga a los administradores web por utilizarlo. Según explican en su página de preguntas frecuentes (https://docs.hcaptcha.com/faq).

Por otra parte, presumen en el aspecto de la privacidad. Comparándose una vez más con Google, dicen que ellos nos rastrean las IP y su navegación por Internet para determinar si se trata de un bot o no. Google con su reCAPTCHA V3, por cómo está diseñada, lo hace. La idea detrás de reCAPTCHA V3 es entender si alguien es humano por cómo se comporta en Internet y no por las CAPTCHAS que resuelve. Es por ello que en cierto modo reCAPTCHA V3 es un cookie masivo para Google.

Aunque los CAPTCHAS son un mal necesario ¿crees que son efectivos? Pues, tenemos un respaldo que demuestra que no… hay una IA a la que le basta 0,05 segundos para resolver una CAPTCHA (https://awesomeopensource.com/projects/captcha).

Acá otra web donde tenemos proyectos de código abierto que se encargan de romper CAPTCHAS: https://awesomeopensource.com/projects/captcha

Acá otra web donde específicamente encontramos todos los CAPTCHAS conocidos: https://www.w3.org/WAI/GL/wiki/Captcha_Alternatives_and_thoughts y uno muy bueno totalmente libre: https://visualcaptcha.net/

No solo se queda ahi, también hay una técnica para los más avanzados que puede ser relativamente “efectiva”: la técnica honeypot. El concepto es que los webmasters agregan campos a sus formularios que son invisibles para los usuarios humanos, pero visibles para los bots. Cuando los bots completan estos campos invisibles, revelan que no son humanos y los formularios se pueden descartar de forma segura. Más detalles aquí: http://ezinearticles.com/?Captchas-Considered-Harmful—Why-Captchas-Are-Bad-And-How-You-Can-Do-Better&id=1104207

… y un poco de discusión sobre la implementación aquí: https://www.thryv.com/blog/honeypot-technique/

Me gusta esto por la forma en que cambia la carga de la prueba. En lugar de exigir a los usuarios que realicen tareas adicionales molestas para demostrar que son humanos, se presume que son humanos, a menos que se revelen como bots. Además, se sabe que los captchas de ‘eres un humano’ dificultan (si no imposibilitan) el acceso de algunos usuarios con necesidades especiales a los sitios web, por lo que esta es otra buena razón para encontrar un reemplazo para ellos.

Esto es todo por hoy… nos leemos.

Deja un comentario

A %d blogueros les gusta esto: