El lado oculto de Google reCAPTCHA v3

Por primera vez en la historia de los CAPTCHAS desaparece la necesidad de que el usuario tenga que introducir un texto ilegible en un campo de verificación, que tenga que marcar esa casilla de «no soy un robot» o peor aún, que tenga que indicar qué imágenes de un mosaico corresponden con la de un gato.

Según explicaban los ingenieros de Google, la nueva versión de reCAPTHA no exige nada al usuario. Se ejecutará en segundo plano, e irá identificando y clasificando automáticamente a los usuarios entre robots o humanos, utilizando un sistema de puntuación basado sobre las pautas de su actividad, elaborando distintos perfiles de riesgo.

Todo esto suena por supuesto estupendamente bien. La navegación se convierte en una experiencia mucho más fluida y transparente y las web que integran el nuevo reCAPTCHA «molestan» menos a sus usuarios. Así que todos ganan: ¿O no?

Pues no está tan claro. Como ya ha denunciado un grupo de expertos en ciberseguridad, lo nuevo de Google tiene una cara mucho menos amable: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta Para comprender por qué esto es así, lo primero hay explicar cómo funciona este nuevo sistema.

La supercookie de Google

Google como la mayoría de los sitios que visitamos en Internet por primera vez, suele preguntarnos si estamos dispuestos a aceptar sus cookies. Para ellos y para nosotros, es importante. La cookie de Google nos permite entre otras cosas que sus servicios «recuerden» que ya nos hemos autenticado con anterioridad en uno de sus servicios, de modo que no tengamos que introducir nuestro nombre y nuestra contraseña cada vez que los visitamos.

Y hasta aquí bien. Pero por supuesto la cookie de Google hace más cosas, casi todas «inofensivas» hasta ahora. Y decimos hasta ahora, porque lo que denuncian estos investigadores es que para que reCAPTCHA funcione sin necesidad de «interactuar» con el usuario, lo que hace es tomar buena nota de todos sus hábitos de navegación.

De esta forma, si comprueba que navega tal y como lo haría un ser humano, le otorgará un scoring alto y por lo tanto lo considerará digno de confianza. En cambio, si sospecha que no navega tal y como lo haría una persona, el scoring será mucho menor y en este caso el servicio pondrá en marcha otras medidas de autenticación, como puede ser un doble factor.

Esto quiere decir que seamos o no usuarios de los productos de Google, las webs que implementen el nuevo sistema van a «forzar» a sus usuarios a aceptar su cookie tanto si lo quieren como si no. Y esto no son precisamente buenas noticias para los amigos de la privacidad.

Tal y como han comprobado estos investigadores, al utilizar un servicio VPN o la red TOR para acceder a los sitios que han incluido esta medida de seguridad, el sistema responde automáticamente indicando que el visitante es de alto riesgo y o bien impide completamente el acceso o bien pone en marcha otras medidas de autenticación.

En estos momentos, de las 4,5 millones de páginas web que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, aproximadamente 450.000 han implementado la última versión de este sistema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es cierto, Google usa cookies que se integran en el sistema de reCAPTCHA.

Esto necesariamente no es negativo, y hay que recordar que este es un sistema de seguridad.
Con el despuntar de las IA, este sistema se ha visto seriamente afectado y vulnerado, comprometiéndose servicios en extremos importantes.

No solo recopila información del usuario registrado con Google; o sea que si se tiene cuentas con este, y ningún bloqueador activado, el sistema se integra, y el CAPTCHA es transparente para el usuario. Pero también recopila información como la IP, entre otros referentes al SO.

Si se usa servicios VPN, o de otra índole, el sistema conserva el IP último conque el usuario ha usado los servicios de Google, y cruza en referencia los datos.

Aun así, se están saltando los CAPTCHAS con sistemas mixtos.

Ya lo pude ver. Y para mitigar, el sistema, de manera aleatoria, le suelta una ID variable, para corroborar la identidad.

Hay toda una guerra, pues existen negocios de ventas de registros, en los cuales están involucrados hasta el crimen organizado; ej: citas de embajadas para visados, etc.

Para que se tenga una idea: una cita a una embajada (de ciertas naciones) puede variar desde los 300, hasta los 700 dólares. Y dichas citas solo se obtienen a través de una web online y con el sistema de reCAPTCHA.