Los bots maliciosos son responsables del robo de miles de millones de dólares cada año. A medida que estos ataques y los estafadores detrás de ellos se vuelven más sofisticados, es crucial que las empresas refuercen su seguridad y protejan sus ingresos mediante la implementación de defensas efectivas.
En la actualidad, los negocios deben combatir los bots en tiempo real, y una estrategia común para hacerlo es utilizar desafíos en sesión para los usuarios, como los CAPTCHAs, que ayudan a diferenciar entre bots y usuarios legítimos.
¿Qué es CAPTCHA?
CAPTCHA es el acrónimo de «Completely Automated Public Turing test to tell Computers and Humans Apart» (Prueba de Turing completamente automatizada y pública para diferenciar entre computadoras y humanos). Su objetivo principal es evitar que los bots generen spam, registren cuentas falsas o accedan a cuentas de usuarios reales sin autorización.
Es probable que ya hayas encontrado reCAPTCHA, la versión de CAPTCHA desarrollada por Google. Sin embargo, existen diferentes versiones de reCAPTCHA, como v2 y v3. Entonces, ¿cuál es mejor para defenderse contra bots maliciosos? Analicemos las diferencias, ventajas y limitaciones de cada una.
¿Qué es reCAPTCHA?
Al igual que otros servicios CAPTCHA, reCAPTCHA de Google está diseñado para prevenir ataques fraudulentos en sitios web, permitiendo al mismo tiempo que los usuarios legítimos interactúen sin inconvenientes. Según Google, reCAPTCHA protege activamente los datos de una red que abarca cinco millones de sitios.
¿Es reCAPTCHA gratuito?
Una de las razones por las que reCAPTCHA es tan popular es porque es gratuito, lo que lo convierte en una opción atractiva para propietarios de sitios web que buscan protegerse contra el fraude sin incurrir en costos adicionales.
Sin embargo, Google establece ciertos límites en el uso gratuito de reCAPTCHA. Actualmente, permite hasta un millón de evaluaciones mensuales sin costo, lo que puede ser suficiente para pequeños negocios, pero insuficiente para sitios de alto tráfico.
¿Qué es reCAPTCHA v2?
Si alguna vez has visto una casilla de verificación con la frase «No soy un robot» al completar un formulario, has encontrado reCAPTCHA v2. En algunos casos, simplemente marcar la casilla es suficiente para pasar la prueba. Sin embargo, en otras ocasiones, se requiere completar un desafío adicional, como seleccionar imágenes que coincidan con una descripción determinada.
reCAPTCHA v2: Frustrante para los usuarios
Según Gartner, se recomienda utilizar CAPTCHAs que generen la menor fricción posible. Aunque reCAPTCHA v2 tiene el propósito de verificar si un usuario es humano, desde su lanzamiento en 2014 ha generado frustración entre los usuarios reales. La selección de imágenes puede volverse tediosa y afectar la experiencia del usuario.
Un problema adicional es la dificultad de crear CAPTCHAs que sean fáciles para humanos en diferentes regiones culturales, pero difíciles para las máquinas. Además, el aumento en la complejidad de los CAPTCHAs puede excluir involuntariamente a usuarios legítimos.
Las Click Farms y el fraude en CAPTCHAs
Incluso si los CAPTCHAs impiden el acceso de los bots, ¿cómo se puede evitar que usuarios malintencionados los superen? Las «click farms» o granjas de clics son grupos de trabajadores humanos, ubicados en regiones con costos laborales bajos, contratados para resolver CAPTCHAs a gran escala. Esto permite que los estafadores accedan a sitios web y cuentas de usuario incluso cuando sus bots no pueden hacerlo por sí mismos.
¿Qué es reCAPTCHA v3?
Si la frustración del usuario con reCAPTCHA v2 es un problema, reCAPTCHA v3 podría parecer una solución atractiva. A diferencia de v2, reCAPTCHA v3 funciona en segundo plano sin requerir interacciones directas de los usuarios.
Cuando un usuario interactúa con un sitio web que usa reCAPTCHA v3, se le asigna un puntaje de riesgo. Un puntaje de 1.0 indica que es un humano, mientras que un puntaje de 0.0 sugiere que probablemente sea un bot.
¿Cómo funciona reCAPTCHA v3?
Los propietarios de sitios web pueden establecer umbrales para determinar qué usuarios son considerados sospechosos. Si un visitante no cumple con el umbral definido, el sitio puede bloquearlo o requerir una verificación adicional, como autenticación telefónica.
Google promueve reCAPTCHA v3 como una solución sin fricción para los usuarios, basada en análisis de riesgo adaptativo. No obstante, su efectividad depende de la configuración adecuada de los umbrales de seguridad.
Limitaciones de reCAPTCHA v3
- Falta de retroalimentación: No proporciona un bucle de retroalimentación sobre los puntajes de riesgo y las actividades del usuario.
- Privacidad: Utiliza cookies y datos personales para calcular los puntajes de riesgo, lo que lo hace incompatible con el Reglamento General de Protección de Datos (GDPR).
- Dificultad para identificar bots inteligentes: Los bots avanzados pueden imitar el comportamiento humano, dificultando su detección.
¿Pueden los bots vencer reCAPTCHA?
Desafortunadamente, los bots pueden superar reCAPTCHA en algunos casos. Los avances en tecnología de visión artificial permiten desarrollar scripts que identifican patrones en las pruebas de reCAPTCHA y las resuelven de manera automática.
Algunas estrategias utilizadas por los estafadores incluyen:
- Uso de servicios de proxy IP para realizar ataques simultáneos.
- Automatización con inteligencia artificial, que permite a los bots identificar y resolver desafíos visuales.
- Click farms, que emplean trabajadores humanos para resolver CAPTCHAs a gran escala.
¿Debes elegir reCAPTCHA v2 o v3?
Si diriges un negocio pequeño, reCAPTCHA v2 puede ser una buena opción inicial para evitar registros de spam y ataques básicos. Sin embargo, si buscas una solución menos intrusiva para los usuarios, reCAPTCHA v3 podría ser la mejor alternativa.
Dicho esto, ninguna versión de reCAPTCHA es infalible contra bots avanzados y fraudes sofisticados. Para proteger completamente tu negocio, podrías considerar soluciones adicionales como:
- Autenticación multifactor (MFA)
- Análisis avanzado de comportamiento del usuario
- Sistemas de detección de fraudes basados en inteligencia artificial
En última instancia, la seguridad digital requiere un enfoque integral. reCAPTCHA es una herramienta útil, pero debe complementarse con otras medidas para garantizar una protección efectiva contra los ataques de bots maliciosos.