El pasado mes de noviembre os contamos cómo Google se había marcado un tanto con la presentación de reCAPTCHA v3, la nueva versión su popular herramienta que ayuda a los administradores web a verificar que esa IP que quiere identificarse en un sistema es una persona real y no un programa malicioso.
Por primera vez en la historia de los CAPTCHAS desaparece la necesidad de que el usuario tenga que introducir un texto ilegible en un campo de verificación, que tenga que marcar esa casilla de «no soy un robot» o peor aún, que tenga que indicar qué imágenes de un mosaico corresponden con la de un gato.
Según explicaban los ingenieros de Google, la nueva versión de reCAPTHA no exige nada al usuario. Se ejecutará en segundo plano, e irá identificando y clasificando automáticamente a los usuarios entre robots o humanos, utilizando un sistema de puntuación basado sobre las pautas de su actividad, elaborando distintos perfiles de riesgo.
Todo esto suena por supuesto estupendamente bien. La navegación se convierte en una experiencia mucho más fluida y transparente y las web que integran el nuevo reCAPTCHA «molestan» menos a sus usuarios. Así que todos ganan: ¿O no?
Pues no está tan claro. Como ya ha denunciado un grupo de expertos en ciberseguridad, lo nuevo de Google tiene una cara mucho menos amable: la intromisión en la privacidad de los usuarios. Para comprender por qué esto es así, lo primero hay explicar cómo funciona este nuevo sistema.
Google como la mayoría de los sitios que visitamos en Internet por primera vez, suele preguntarnos si estamos dispuestos a aceptar sus cookies. Para ellos y para nosotros, es importante. La cookie de Google nos permite entre otras cosas que sus servicios «recuerden» que ya nos hemos autenticado con anterioridad en uno de sus servicios, de modo que no tengamos que introducir nuestro nombre y nuestra contraseña cada vez que los visitamos.
Y hasta aquí bien. Pero por supuesto la cookie de Google hace más cosas, casi todas «inofensivas» hasta ahora. Y decimos hasta ahora, porque lo que denuncian estos investigadores es que para que reCAPTCHA funcione sin necesidad de «interactuar» con el usuario, lo que hace es tomar buena nota de todos sus hábitos de navegación.
De esta forma, si comprueba que navega tal y como lo haría un ser humano, le otorgará un scoring alto y por lo tanto lo considerará digno de confianza. En cambio, si sospecha que no navega tal y como lo haría una persona, el scoring será mucho menor y en este caso el servicio pondrá en marcha otras medidas de autenticación, como puede ser un doble factor.
Esto quiere decir que seamos o no usuarios de los productos de Google, las webs que implementen el nuevo sistema van a «forzar» a sus usuarios a aceptar su cookie tanto si lo quieren como si no. Y esto no son precisamente buenas noticias para los amigos de la privacidad.
Tal y como han comprobado estos investigadores, al utilizar un servicio VPN o la red TOR para acceder a los sitios que han incluido esta medida de seguridad, el sistema responde automáticamente indicando que el visitante es de alto riesgo y o bien impide completamente el acceso o bien pone en marcha otras medidas de autenticación.
En estos momentos, de las 4,5 millones de páginas web que están utilizando el sistema reCaptcha, aproximadamente 450.000 han implementado la última versión de este sistema.
Fuente:https://www.muyseguridad.net