Cloudflare y navegadores crean protocolo anti-bot que respeta la privacidad

¿Qué ha ocurrido?

Cloudflare ha anunciado una iniciativa conjunta con los principales navegadores —Google Chrome, Mozilla Firefox y Microsoft Edge— para desarrollar un nuevo protocolo de internet llamado Private Access Control Tokens (PACT). Este protocolo permite verificar si el tráfico web es legítimo (humano) sin rastrear a los usuarios. En lugar de mostrar CAPTCHAs o exigir inicios de sesión, los navegadores emitirán tokens anónimos que demuestran que el visitante es humano, preservando su privacidad.

La propuesta, publicada en el repositorio de IETF como borrador, se basa en el estándar Privacy Pass (RFC 9577) y utiliza criptografía de clave pública. Los tokens son generados localmente por el navegador tras evaluar señales de comportamiento, historial de navegación o interacciones previas, y son firmados por un emisor confiable (por ejemplo, Cloudflare) sin que este conozca la identidad del usuario. El sitio web receptor puede validar el token sin necesidad de rastrear al visitante.

Según el anuncio de Cloudflare, la iniciativa busca abordar el problema creciente del tráfico automatizado: más del 40% de todo el tráfico web actual es generado por bots, según datos de la propia empresa. Los CAPTCHAs tradicionales, que comenzaron como una solución simple, se han vuelto cada vez más complejos y frustrantes, con tasas de resolución que pueden superar los 30 segundos en algunos casos. Además, los sistemas de verificación basados en inicio de sesión obligan a los usuarios a registrarse en sitios que quizás solo visitan una vez, lo que reduce la conversión y aumenta la fricción.

¿Por qué es importante?

Los CAPTCHAs y los sistemas de verificación basados en inicio de sesión son una fuente constante de fricción para los usuarios y un desafío de accesibilidad. Además, muchos de estos sistemas dependen de técnicas de rastreo como fingerprinting o cookies de terceros, lo que vulnera la privacidad. PACT elimina esa necesidad: el navegador localmente determina que el usuario es humano (basándose en comportamiento, historial de navegación o interacciones previas) y emite un token criptográfico firmado que el sitio web puede validar sin conocer la identidad del usuario.

La importancia de PACT radica en su potencial para resolver el dilema entre seguridad y privacidad. Hasta ahora, las soluciones antabuso se basaban en la recopilación de datos de usuario, como huellas digitales del navegador o historial de navegación, lo que generaba preocupaciones regulatorias bajo el GDPR y otras leyes de privacidad. PACT propone un enfoque diferente: la verificación se realiza en el dispositivo del usuario, y el token resultante es anónimo e intransferible. Esto podría allanar el camino para una web donde la verificación de humanidad no requiera sacrificar la privacidad, como señaló un portavoz de Cloudflare en una declaración recogida por The Next Web.

Además, PACT aborda un problema de accesibilidad: los CAPTCHAs visuales o auditivos son difíciles de superar para personas con discapacidades visuales o auditivas. Al eliminar la necesidad de interactuar con estos desafíos, PACT hace que la web sea más inclusiva.

¿Qué consecuencias tendrá?

• Para los usuarios: navegación más fluida, sin CAPTCHAs ni pantallas de login innecesarias, y mayor privacidad al no compartir datos con terceros. Los tokens PACT se almacenan localmente y se pueden usar en múltiples sitios sin que estos puedan correlacionar la actividad del usuario.
• Para los sitios web: reducción del tráfico de bots sin depender de soluciones intrusivas, mejorando la tasa de conversión y la experiencia del usuario. Los sitios podrán implementar PACT como complemento o reemplazo de CAPTCHAs, reduciendo los costos operativos asociados a la verificación manual o a servicios de terceros.
• Para la industria: un estándar abierto que podría ser adoptado por otros navegadores y proveedores de seguridad, cambiando la forma en que se combate el abuso automatizado. Empresas como Apple (Safari) y Brave también han mostrado interés en tecnologías similares, lo que sugiere que PACT podría convertirse en un estándar de facto si logra suficiente adopción.

Sin embargo, existen desafíos. La efectividad de PACT frente a bots sofisticados que utilizan inteligencia artificial para imitar el comportamiento humano aún está por demostrarse. Además, la dependencia de un emisor de tokens (como Cloudflare) plantea preguntas sobre centralización: si un solo actor controla la emisión, podría convertirse en un punto único de fallo o de control. Cloudflare ha declarado que el protocolo es abierto y que cualquier entidad podría actuar como emisor, pero en la práctica, la infraestructura necesaria podría limitar la competencia.

¿Qué deben saber los lectores?

PACT aún está en fase de propuesta y requiere implementación en los navegadores y en la infraestructura de Cloudflare. Se esperan pruebas piloto en los próximos meses, posiblemente integradas en Cloudflare Turnstile, su alternativa a CAPTCHA. El protocolo se basa en Privacy Pass, un estándar del IETF, y utiliza criptografía de clave pública para garantizar que los tokens no puedan ser vinculados a un usuario específico. Aunque prometedor, su efectividad frente a bots sofisticados (como los que usan inteligencia artificial) aún está por demostrarse.

Es importante destacar que PACT no es la única iniciativa en este espacio. Apple ya ha implementado Private Access Tokens en iOS 16 y macOS Ventura, aunque limitados a su ecosistema. Google, por su parte, ha propuesto Web Environment Integrity, un enfoque más controvertido que ha sido criticado por potencialmente otorgar demasiado control a los navegadores. PACT se diferencia por ser abierto y colaborativo, con la participación de múltiples actores desde el inicio.

Para los lectores, la recomendación es mantenerse informados sobre el progreso de la especificación en el IETF y las pruebas piloto. Si PACT se adopta ampliamente, podría significar el fin de los CAPTCHAs tal como los conocemos, pero también requerirá que los usuarios confíen en que los navegadores y emisores no abusen del sistema. La transparencia en el código y la auditoría independiente serán clave para generar esa confianza.

“Este es un paso importante hacia una web donde la verificación de humanidad no requiera sacrificar la privacidad”, declaró un portavoz de Cloudflare en una entrevista con The Next Web.