26 de mayo de 2025

Los CAPTCHAS ya no nos protegen de los bots, según un experto en venta de entradas online. A menos que renunciemos a la privacidad

"Los CAPTCHAS ya no nos protegen de los bots", según un experto en venta de entradas online. A menos que renunciemos a la privacidad

La tecnología avanza a pasos agigantados, y sectores como la venta de entradas online se aprovechan de ello tanto como lo sufren. Uno de los desafíos a los que tienen que hacer frente, por ejemplo, es la lucha constante contra los bots automatizados que acaparan entradas para su posterior reventa.

Y el problema es que una solución ampliamente adoptada en el pasado —el uso de CAPTCHAs— parece haber perdido efectividad. O al menos así lo asegura Raphael Michel, creador de pretix, un sistema de venta de entradas de código abierto, quien declara sin rodeos que

"Los CAPTCHAs ya no proporcionan una protección significativa contra bots".

El auge de los bots y la caída de los CAPTCHAs

El problema es bien conocido: muchos eventos tienen una demanda muy superior a la oferta de entradas. Esta situación es un caldo de cultivo para los scalpers, individuos o grupos que utilizan bots para comprar entradas en masa y revenderlas luego a precios exorbitantes.

Y lo que muchos podrían plantear como una solución económica 'ideal' (aumentar los precios de las entradas hasta alcanzar un equilibrio de mercado) es rechazada por la mayoría de organizadores por razones éticas.

Ante ello, el recurso habitual ha sido técnico: los CAPTCHAs. Estas pruebas buscan distinguir humanos de máquinas exigiendo la realización de tareas simples para personas pero difíciles para ordenadores. Sin embargo, con los últimos avances en inteligencia artificial (IA), estas clasificaciones de dificultad han dejado de ser ciertas.

Ya no quedan problemas que los humanos resuelvan mejor

Inicialmente, los CAPTCHAs se basaban en el reconocimiento de texto distorsionado; más tarde, migraron a la identificación de imágenes (como los famosos cuadros con motocicletas, semáforos o puentes) y tareas auditivas.

Hoy, por desgracia, muchos modelos de IA superan con facilidad todas estas pruebas, y cualquier intento de hacerlas más difíciles también incrementa la dificultad para los humanos, volviéndolas inútiles o inaccesibles.

Además, la necesidad de accesibilidad —obligatoria en Europa gracias a leyes como el European Accessibility Act— limita aún más las posibles variantes de CAPTCHAs, pues deben ofrecer alternativas para usuarios con discapacidades visuales o auditivas.

Si la IA es el problema, ¿puede ser también la solución?

Los proveedores de seguridad han girado hacia la monitorización de comportamiento mediante modelos de aprendizaje automático. Soluciones como reCAPTCHA v3 analizan múltiples datos del usuario —movimientos del ratón, historial de navegación, velocidad de clics, etc.— para estimar si se trata de un humano o un bot. Este enfoque presenta dos grandes problemas:

  1. Privacidad: Requiere recopilar enormes volúmenes de datos personales, muchas veces a través de múltiples sitios web. Esto genera preocupaciones éticas y legales.
  2. Falsos positivos: Un error del sistema puede bloquear a grupos enteros de usuarios legítimos, como quienes usan tecnologías de asistencia o visitan el sitio por primera vez. En contextos de alta demanda, como la venta de entradas, no hay margen para revisiones manuales: o se vende el ticket, o se pierde la oportunidad.

Cuando los bots se comportan como humanos

Incluso las señales técnicas, como diferencias en tiempos de carga o ejecución de JavaScript, ya no son útiles. Los bots modernos usan navegadores reales, controlados por código, de manera casi indistinguible de un humano… o, al menos, de un usuario que depende de un lector de pantalla. La delgada línea entre ambos hace imposible usar ciertas métricas sin excluir involuntariamente a usuarios legítimos.

¿Pruebas de trabajo como solución?

Otra alternativa son los esquemas de proof of work, que obligan al ordenador del usuario a resolver un problema computacionalmente costoso. Esto, sin duda, logra encarecer el uso masivo de bots, pero en el contexto del 'ticketing' es ineficaz: el margen de ganancia por reventa justifica sobradamente ese coste computacional.

Además, este método es poco ético desde una perspectiva ecológica, ya que desperdicia energía en la realización de tareas inútiles.

CAPTCHAs baratos, bots más baratos

Incluso si existieran nuevas formas de CAPTCHA efectivas, siempre habrá soluciones como servicios que combinan IA con trabajadores humanos mal remunerados para resolverlos a escala y a bajo coste. Existen empresas especializadas que solucionan CAPTCHAs a velocidades industriales, minando la utilidad de cualquier barrera.

¿Entonces, qué funciona?

Para Michel, quedan pocas herramientas realmente útiles:

  1. Personalización fuerte de entradas: Vincularlas a nombres y documentos de identidad verificados puede disuadir la reventa, aunque puede dificultar la compra para grupos o parejas que no saben aún quién asistirá.
  2. Límites por recursos difíciles de falsificar: Por ejemplo, restringir el número de entradas por número de teléfono, tarjeta de crédito o cuenta bancaria. Esto no detendrá a todos los actores maliciosos, pero sí encarece el proceso, desincentivando el fraude a gran escala.

El teorema BAP: un triángulo imposible

Michel propone una analogía con el famoso teorema CAP de las bases de datos. En su 'teorema BAP', afirma que es imposible tener simultáneamente estas tres propiedades en un sistema de protección contra bots:

  • B: Resistencia a bots
  • A: Accesibilidad
  • P: Respeto a la privacidad

Solo se puede elegir dos:

  • BA: Resistente y accesible, pero no respetuoso con la privacidad (requiere identificar fuertemente al usuario).
  • BP: Resistente y privado, pero no accesible (puede excluir a personas con discapacidades).
  • AP: Accesible y privado, pero vulnerable a los bots.

La conclusión es clara y preocupante: los organizadores deben elegir entre protegerse de bots o respetar la privacidad de sus usuarios. Las soluciones tecnológicas actuales no permiten ambas cosas a la vez, al menos en un entorno tan competitivo y lucrativo como el de la venta de entradas.

Imagen | Marcos Merino mediante IA

En Genbeta | HBO la lía en Max: su forma de comprobar si somos humanos se ha vuelto viral por ser tan desternillante como difícil

-
La noticia "Los CAPTCHAS ya no nos protegen de los bots", según un experto en venta de entradas online. A menos que renunciemos a la privacidad fue publicada originalmente en Genbeta por Marcos Merino .


☞ El artículo completo original de Marcos Merino lo puedes ver aquí
Publicado a las 6:15 p.m.

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)