Antes de su conferencia Connect en octubre, Cloudflare anunció esta semana un nuevo y ambicioso proyecto llamado Turnstile, que busca acabar con los CAPTCHA que se usan en la web para verificar que las personas son quienes dicen ser. Disponible para propietarios de sitios sin cargo, clientes de Cloudflare o no, Turnstile elige entre un conjunto rotativo de “desafíos de navegador” para verificar que los visitantes de una página web no sean, de hecho, bots.
Los CAPTCHA, las pruebas de desafío y respuesta que la mayoría de nosotros hemos encontrado al completar formularios, han existido durante décadas y han tenido un éxito relativo en mantener a raya el tráfico de bots. Pero el auge de la mano de obra barata, los errores en varios tipos de CAPTCHA y los solucionadores automáticos han comenzado a abrir brechas en el sistema. Varios sitios web ofrecen servicios de resolución de CAPTCHA respaldados por humanos y AI por tan solo $ 0.50 por cada mil CAPTCHA resueltos, y algunos investigadores afirman Los ataques basados en IA pueden resolver con éxito los CAPTCHA utilizados por los sitios web más populares del mundo.
Cloudflare en sí fue una vez un usuario de CAPTCHA. Pero según el CTO John Graham-Cumming, la empresa nunca estuvo del todo satisfecha con él, si Cloudflare’s gritos de guerra públicos no lo había dejado claro. En una conversación con TechCrunch, Graham-Cumming enumeró lo que él ve como las muchas desventajas de la tecnología CAPTCHA, incluida la poca accesibilidad (las discapacidades visuales pueden hacer que sea imposible resolver un CAPTCHA), el sesgo cultural (los CAPTCHA asumen la familiaridad con objetos como los taxis estadounidenses) y las tensiones que los CAPTCHA imponen a los planes de datos móviles.
Créditos de imagen: Llamarada de la nube
“El mayor problema con CAPTCHA es que la experiencia del usuario es terrible. A medida que las computadoras han mejorado para resolverlos, la experiencia del usuario solo ha empeorado”, dijo Graham-Cumming en una entrevista por correo electrónico.
Cloudflare en un momento se trasladó a un servicio llamado hCaptcha, con críticas mixtas. uno frecuente desafío pidió a los usuarios que ingresen su nombre, digan si prefieren berenjenas o zanahorias y hagan clic en cada una de las 27 imágenes que muestran un tren. El retroceso, y el Tarifa impuesto por algunos servicios CAPTCHA, es parte de lo que impulsó a Cloudflare a desarrollar su propia alternativa, según Graham-Cumming.
“Hemos estado trabajando en una solución durante varios años y escribimos en un blog hace unos meses sobre cómo hemos reducido nuestro propio uso de CAPTCHA en un 91 %. Como hemos demostrado que funcionó para nosotros, queríamos darles a todos la opción de deshacerse de CAPTCHA”, agregó.
Turnstile elige automáticamente un desafío del navegador en función de “la telemetría y el comportamiento del cliente exhibido durante una sesión”, dice Cloudflare, en lugar de factores como las cookies de inicio de sesión. Después de ejecutar desafíos de JavaScript no interactivos para recopilar señales sobre el visitante y el entorno del navegador y usar modelos de IA para detectar funciones y visitantes que hayan superado un desafío anteriormente, Turnstile ajusta la dificultad del desafío a la solicitud específica, evitando que los usuarios resolver un rompecabezas
Para implementar Turnstile, los administradores web crean una cuenta de Cloudflare y obtienen el código de inserción necesario, que luego pegan en el código de su sitio web. Después de agregar una llamada del lado del servidor a la API Turnstile de Cloudflare, el servicio se activa. Cualquier sitio puede llamar a la API.
“Si está utilizando un servicio CAPTCHA existente hoy, es solo buscar y reemplazar en la cadena de código”, dijo Graham-Cumming. “Es compatible con cualquier otro proveedor de red… No tiene que usar ningún otro servicio de Cloudflare, como nuestra red de entrega de contenido, para usar Turnstile”.
Un diagrama que muestra cómo funciona el sistema Turnstile de Cloudflare.
Cloudflare afirma que Turnstile es tan seguro como CAPTCHA y aprovecha características como tokens de acceso privado para minimizar la cantidad de datos que se recopilan. Recientemente implementados en iOS 16 y macOS Ventura, los tokens de acceso privado funcionan haciendo que un dispositivo envíe información de autenticación anónima (tokens) a un sitio web compatible sin exponer ninguna información confidencial sobre sí mismo.
Cloudflare y el servicio rival Fastly fueron de los primeros en anunciar la compatibilidad con tokens de acceso privado con hardware de Apple.
La pregunta es si se persuadirá a los sitios para que implementen Turnstile sobre el CAPTCHA actual. Según una medida, el 97,7 % del millón de sitios web principales por tráfico utilizan reCAPTCHA de Google, actualmente el servicio de CAPTCHA más popular del mercado. Cloudflare dice que está trabajando en complementos para las principales plataformas como WordPress para hacer que Turnstile sea más fácil de implementar, pero probablemente llevará tiempo convencer a los administradores de que vale la pena el esfuerzo, suponiendo que alguna vez estén convencidos.
Graham-Cumming parecía mayormente indiferente y señaló que Cloudflare no tiene un incentivo comercial obvio para impulsar la adopción.
“Construimos una alternativa, demostramos que funciona bien para nosotros y la abrimos a otros sitios tan pronto como pudimos”, dijo. “Dado que demostramos que funcionó para nosotros, queríamos darles a todos la opción de deshacerse de CAPTCHA. Ayudar a mejorar Internet es realmente nuestra misión. Creemos que regalar esto a cualquier sitio web es una forma de hacerlo”.
En lo que respecta a los próximos pasos, Graham-Cumming dice que los tokens de acceso privado son el mejor indicador de hacia dónde le gustaría moverse Cloudflare en el futuro. La empresa probó un sistema de seguridad basado en USB en el pasado, pero la necesidad de hardware agrega un alto grado de fricción, admitió.
“Los clientes y las redes se preocupan cada vez más por la privacidad y la segmentación de datos. Es probable que la capacidad de abstraer partes de la validación para otras partes sin tener que recopilar datos nosotros mismos continúe”, agregó Graham-Cumming. “Por ejemplo, [people] mencionar la autenticación biométrica. Creo que es más probable que nos asociemos con fabricantes de hardware para usar tokens de acceso privado para hacer la validación biométrica por nosotros y pasar un token encriptado que nos demuestre esa validación en lugar de hacer la autenticación biométrica nosotros mismos”.