En octubre de 2018 Google presentó reCAPTCHA v3, una nueva versión de su sistema para detectar bots en formularios web que, al fin, no requería de que resolviésemos puzzles. reCAPTCHA v3 analiza el comportamiento del usuario navegando por la web para saber si es humano o no. Sin embargo esta recopilación de datos también puede tener otros fines, por ejemplo fines lucrativos para anunciantes, según una reciente investigación.
Era un sueño hecho realidad, dejar de tener que escribir palabras ilegibles o marcar semáforos y escaparates. La nueva versión de reCAPTCHA se encarga de analizar en segundo plano cómo navegamos por Internet para asignarnos una puntuación según las probabilidades que hay de que seamos un bot o un humano real.
CAPTCHA ha sido sin duda un enrome aporte a la seguridad de Internet para evitar bots y SPAM en páginas web. Sin embargo también ha recibido odio por igual de parte de los usuarios, siempre hay posibilidades de fallar el acertijo que nos pone por delante. En Google han sido conscientes de ello y poco a poco han ido mejorando y evolucionando el sistema hacia acciones más humanas. Y es que a fin de cuentas hasta una IA era capaz de resolver las CAPTCHAs ya. En la versión previa (aún utilizada en muchas web) por ejemplo sólo había que desplazar el cursor para marcar que no somos un robot. Según cómo era el desplazamiento el sistema sabe si mentimos o no.
Pero como hemos visto, reCAPTCHA v3 va más allá. No se limita a analizar el desplazamiento del cursor en una web, sino a analizar el comportamiento general del usuario en diversas webs que usan el sistema reCAPTCHA v3. Con el tiempo y el uso va generando un perfil del usuario según su historial y le asigna una puntuación según el nivel de riesgo que hay de que sea un bot o no. Los administradores de las páginas web que usan reCAPTCHA v3 pueden elegir el nivel de riesgo que quieren tolerar para pedir verificaciones extra o no.
Si usas una cuenta de Google es más probable que seas humano
reCAPTCHA v3 es ideal en cuanto a seguridad se refiere, pero en temas de privacidad puede que ya no tanto según una investigación. Dos investigadores han realizado una serie de pruebas para demostrar que reCAPTCHA v3 no se limita sólo a datos recopilados de forma independiente de las webs que tienen el sistema integrado. Otra de las formas que tiene reCAPTCHA v3 de detectar si se trata de un humano o no es basándose en el inicio de sesión de Google. Para no tener que iniciar sesión en Google continuamente en todas las webs de la compañía, esta tiene un rastreador que comprueba si ya tienes sesión iniciada en el navegador o no. Rastreador que utiliza reCAPTCHA v3 también.
Mohamed Arkout, uno de los investigadores, comprobó que en los navegadores donde iniciaba sesión con su cuenta de Google la puntuación que obtenía tenía una fiabilidad mayor que en los navegadores donde no tenía sesión iniciada. Lo mismo comprobó Marcos Perona, el otro investigador, en diferentes pruebas. Afirman que debido a que reCAPTCHA v3 está incrustado en multitud de webs y el sistema está sincronizado con la cuenta de Google, es probable que Google esté obteniendo datos sobre cada una de las páginas web que visita el usuario.
¿La idea general de todo esto? reCAPTCHA v3 podría servir para más propósitos aparte de demostrar si eres humano o no. El sistema de detección de bots está sujeto a las condiciones de uso de Google. No se indica si los datos recopilados son exclusivamente para determinar la puntuación de riesgo del sistema reCAPTCHA v3 o para más cosas dentro de la empresa, como por ejemplo mejorar la publicidad que se muestra al usuario.
Vía | Fast Company
Imagen | @kobuagency
Ver 15 comentarios