Cloudflare, que quizás conozcas como proveedor de servicios de DNS o la empresa que dice por qué el sitio web en el que hiciste clic no se carga, quiere reemplazar la locura de los CAPTCHA en la web con un sistema completamente nuevo.

Los CAPTCHA son aquellas pruebas que debe hacer, generalmente cuando intenta conectarse a un servicio, que le piden que haga clic en imágenes de cosas como autobuses, cruces de peatones o bicicletas para demostrar que es un ser humano. (CAPTCHA, si no lo sabía, significa «Prueba pública de Turing totalmente automatizada para diferenciar las computadoras de los humanos»). El problema es que agregan mucha fricción al uso de la web y, a veces, pueden ser difíciles de resolver; estoy seguro de que no soy la única persona que falló frustrantemente en un CAPTCHA porque no vi ese rincón de un paso de peatones en una imagen.

En un blog, Cloudflare dice que tiene la intención de «deshacerse de los CAPTCHA por completo”, Reemplazándolos con una nueva forma de demostrar que eres un ser humano tocando o mirando un dispositivo usando un sistema al que llamas“ Atestación de personalidad criptográfica ”. Por el momento, solo admite un número limitado de llaves de seguridad USB como YubiKeys, pero ahora puedes probar el sistema Cloudflare por ti mismo en el sitio web de la empresa.

Lo intenté y funcionó muy bien. Todo lo que tenía que hacer era hacer clic en el botón prominente «Soy un humano (beta)» en el sitio web, seguir algunas instrucciones para seleccionar mi llave de seguridad, tocarla y permitir que el sitio web acceda a la marca y modelo de la llave. Cuando lo hice, el sistema me indicó que pasara (aunque me devolvió al blog).

Todo el proceso tomó solo unos segundos, y debo admitir que fue genial no estar intrigado por imágenes granuladas de autobuses y objetos similares a autobuses. Y además de la velocidad de todo, este nuevo método puede tener un gran beneficio de accesibilidad, ya que es posible que las personas con discapacidad visual no puedan completar los CAPTCHA en su forma actual.

Aquí está el «discurso» de la compañía sobre lo que está sucediendo detrás de escena para establecer que usted es un ser humano a través de su nuevo método:

La versión corta es que su dispositivo tiene un módulo seguro incorporado que contiene un secreto exclusivo sellado por el fabricante. El módulo de seguridad puede demostrar que tiene tal secreto sin revelarlo. Cloudflare solicita pruebas y verifica que su fabricante sea legítimo.

Puede leer una explicación mucho más extensa sobre el blog de la empresa.

Aunque es una idea intrigante, puede que no sea el final de los CAPTCHA como los conocemos todavía. Por un lado, probablemente no verá el mensaje en muchos lugares, ya que Cloudflare dice que ahora es solo un experimento, disponible «hasta cierto punto en las regiones de habla inglesa». Y en su estado actual, solo funciona con un conjunto limitado de hardware: YubiKeys, claves HyperFIDO y claves Thetis FIDO U2F.

Cloudflare promete «revisar la incorporación de otros autenticadores lo antes posible». Esto podría expandirse a su teléfono: Cloudflare sugiere la posibilidad de conectar un teléfono a la computadora para pasar una suscripción inalámbrica usando NFC. Google ahora puede manejar ambos iPhones y teléfonos Android como llaves de seguridad físicas; Si Google y Apple se adhirieran al método Cloudflare, podría reducir significativamente la barrera de entrada para usarlo, ya que los teléfonos inteligentes son mucho más comunes que las llaves de seguridad.

Sin embargo, el sistema Cloudflare realmente puede ser un peor solución, según un crítico. Como Ackermann Yuriy (CEO de la consultora Webauthn Works) puntos, “El certificado no prueba nada más que el modelo del dispositivo”, lo que significa que realmente no prueba si alguien que usa un dispositivo para la autenticación es, de hecho, un ser humano.

Cloudflare esencialmente admite esto en su propio blog, diciendo que un pájaro bebedor (aquellos juguetes para pájaros que sumergen sus picos en el agua repetidamente) podría presionar un sensor táctil en una llave de seguridad, pasando así la prueba de autenticación. Si el objetivo de los CAPTCHA es evitar que las granjas de bots invadan los sitios web, es posible que debamos considerar si las granjas de bots equipadas con dispositivos de clave de seguridad manejados por un jurado (o algo peor) se aprovecharán.

Cloudflare no siempre está asociado positivamente con CAPTCHA; en un ejemplo reciente, la empresa cambió de reCAPTCHA de Google a un servicio hCaptcha en abril de 2020y algunas personas no eran fans:

Los CAPTCHA también asumen que los propietarios de sitios web quieren permitir un tráfico relativamente anónimo, pero la identidad anónima puede ser irrelevante si un sitio web tiene su identidad real a través de la información de inicio de sesión que proporcionó. Y con el reciente esfuerzo contra la orientación de anuncios, impulsado en gran parte por gran nueva función de privacidad en iOS 14.5 que pregunta a los usuarios si quieren permitir que cada aplicación los rastree en la web, es posible que los proveedores de sitios web se muevan más hacia los inicios de sesión de todos modos.

Aunque ciertamente parece una molestia tener que lidiar con aún mas inicios de sesión (que es mucho más fácil de hacer con un gran administrador de contraseñas!), este cambio podría, contraintuitivamente, tener el beneficio potencial de empujarnos hacia un futuro sin contraseña incluso antes. Si más servicios solicitan inicios de sesión directos, esto puede hacer que más de ellos admitan claves de seguridad en lugar de contraseñas. Y más sitios que admiten llaves de seguridad pueden presionar a otros para que también las admitan, como la tendencia que vemos hacia la autenticación de dos factores con los teléfonos.

Aunque todavía no estamos en ese futuro sin contraseña, la posible sustitución de CAPTCHA por Cloudflare puede ser un primer paso en esta dirección.