A finales del año pasado Google presentó la última evolución de su prueba para diferenciar entre ordenadores y humanos, reCAPTCHA v3. Como ya explicamos entonces, esta tercera versión se dedica a analizar nuestro comportamiento para determinar de forma invisible, sin que lo percibamos, si somos humanos o no.
El problema es que esta mejor experiencia para el usuario tiene un serio y potencial inconveniente: la invasión de su privacidad. Así lo aseguran recientes investigaciones de dos expertos en seguridad informática.
¿Tiene una cookie de Google? Pues probablemente se trate de un humano
El que más y el que menos ha fallado al menos un captcha alguna vez o ha tenido que pasar por el tedioso juego que a veces propone reCAPTCHA cuando no está seguro de quién tiene delante: te muestra diferentes imágenes de Street View en una cuadrícula y debes marcar aquellas en las que aparezcan, por ejemplo, vehículos, semáforos o escaparates de tiendas. Un odisea.
Por eso, que no tengamos que hacer absolutamente nada para demostrar que somos humanos resulta prácticamente un sueño hecho realidad. Una fantasía cumplida de no ser porque, según dos investigadores citados por Fast Company, una de las formas que tiene Google para determinar si eres un usuario fiable o no es comprobar si ya tienes una cookie de Google instalada en tu navegador. La misma cookie que te mantiene logueado en tu cuenta de los de Mountain View.
El sistema, como explicamos en su momento, ofrece de forma automática una puntuación a la actividad sospechosa, asignando puntos a cada usuario en función del comportamiento que se ha analizado. Las puntuaciones van del 0,0 al 1,0 y cuando más baja sea, más posibilidades que se trate de una máquina. Lo que no se explica es en función de qué comportamientos concretos se asignan; un secreto guardado por Google, en principio, porque desvelarlo supondría ayudar a los responsables de bots a superar reCAPTCHA v3.
Quizás sea por eso que Google no ha respondido a las preguntas sobre el papel que desempeñan sus propias cookies en la tecnología de la última evolución de su captcha tras la investigación de Mohamed Akrout y Marcos Perona.
El primero, estudiante de doctorado en informática de la Universidad de Toronto que ha estudiado reCaptcha, mantiene que este sistema parece estar usando estos archivos depositados en el navegador, de modo que si tienes una cuenta de Google, es más probable que seas humano. El consultor de tecnología Marcos Perona, por su parte, sostiene lo mismo: sus puntuaciones siempre eran bajas (es decir, con menos riesgo de ser un bot) cuando visitaba un sitio web de prueba en un navegador en el que ya estaba conectado a una cuenta de Google. En cambio, visitándolo a través de una VPN o un navegador como Tor, las puntuaciones (y, por tanto, el riesgo) se disparaban en el sistema de los de Mountain View.
Pese a este posible uso no confirmado de sus propias cookies, Google ha asegurado en anteriores ocasiones que los datos que se capturan a través de reCaptcha no se utilizan para la segmentación de anuncios ni para analizar los intereses y preferencias de los usuarios. Además, después del reportaje publicado por Fast Company, la compañía ha añadido que la información recopilada a través de reCaptcha no será utilizada para publicidad personalizada por Google.
Ver 2 comentarios