Navegadores y Cloudflare crean PACT para autenticar tráfico humano y combatir bots

¿Qué ha ocurrido?

Cloudflare ha anunciado una iniciativa conjunta con los principales navegadores —Google Chrome, Mozilla Firefox y Microsoft Edge— para desarrollar un nuevo protocolo de internet llamado Private Access Control Tokens (PACT). El objetivo es verificar si el acceso a un sitio web es legítimo (humano o agente autorizado) o malicioso, sin recurrir a CAPTCHAs ni sistemas de seguimiento invasivos. La noticia fue publicada por TechRadar y confirmada por el propio comunicado de Cloudflare.

Según datos de Cloudflare Radar, el tráfico de bots ha superado oficialmente las solicitudes HTTP humanas en la web, lo que ha motivado la búsqueda de soluciones más eficaces y respetuosas con la privacidad. Los navegadores participantes suman aproximadamente el 77% del mercado según StatCounter, lo que asegura una adopción masiva del protocolo.

¿Por qué es importante?

El equilibrio entre seguridad y experiencia de usuario es un desafío constante. Los CAPTCHAs y otros métodos de verificación generan fricción, afectan las tasas de conversión y pueden ser vulnerables a ataques avanzados. PACT propone un enfoque basado en tokens anónimos de “personhood” (personalidad) que se generan en el navegador del usuario a partir de contextos de confianza, como la interacción previa con servicios autenticados, pero sin revelar información personal.

Además, el protocolo está diseñado para reconocer también tráfico legítimo de bots, como los agentes de IA autorizados, lo que resulta crucial en un momento en que la automatización crece exponencialmente. Como señaló Ilya Grigorik, ingeniero distinguido de Shopify, en el comunicado de Cloudflare: “En el comercio, cada desafío adicional, retraso o falso positivo puede convertir una compra en un carrito abandonado. Los comerciantes necesitan protecciones efectivas contra el abuso automatizado, pero los compradores no deberían pagar por ellas con fricción innecesaria o seguimiento invasivo”.

¿Cómo funciona PACT?

PACT se basa en tokens de control de acceso privados. El navegador del usuario emite un token anónimo que acredita que el acceso proviene de una entidad con una relación auténtica con un servicio (por ejemplo, haber iniciado sesión previamente o usar un dispositivo verificado). Este token se presenta al sitio web sin revelar la identidad del usuario ni datos de navegación. Cloudflare actuará como uno de los emisores de confianza, pero el protocolo es abierto y cualquier entidad podría implementarlo.

Según Cloudflare, el protocolo “eleva el estándar de confianza e integridad en línea sin los costos tradicionales”. No se requiere inicio de sesión adicional ni interacción del usuario; el token se genera de forma transparente en segundo plano.

Consecuencias y perspectivas

Si PACT se implementa con éxito, podría reducir drásticamente el uso de CAPTCHAs y otros métodos de verificación molestos, mejorando la experiencia de navegación y las tasas de conversión en sitios de comercio electrónico. También podría dificultar la acción de bots maliciosos, ya que los tokens requieren una “prueba de humanidad” indirecta que no es fácil de falsificar a gran escala.

Sin embargo, quedan interrogantes sobre la adopción por parte de otros navegadores y la posible centralización del sistema si solo unos pocos emisores controlan la emisión de tokens. La privacidad es un punto fuerte, pero será crucial auditar el código abierto del protocolo para garantizar que no se generan vectores de seguimiento encubiertos.

Para los lectores, la principal recomendación es mantenerse informados sobre la evolución de PACT, ya que podría cambiar la forma en que interactuamos con la web. Las empresas, especialmente las de comercio electrónico y servicios online, deberían prepararse para integrar este protocolo si buscan reducir la fricción en la autenticación de usuarios legítimos.

“PACT representa un paso adelante hacia una web más segura y menos intrusiva, donde la verificación de humanidad no comprometa la privacidad ni la experiencia del usuario.”