Google Cloud Fraud Defense, la siguiente etapa de evolución de reCAPTCHA

 (cloud.google.com)
1 puntos por GN⁺ 1 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Google Cloud lanzó Google Cloud Fraud Defense y lo presenta como la siguiente etapa de evolución de reCAPTCHA, una plataforma de confianza para la web agéntica
  • Fraud Defense está diseñado para verificar la legitimidad de bots, personas y agentes de IA, y proporcionar la inteligencia que las empresas necesitan para proteger las interacciones digitales y el comercio
  • Con un nuevo panel y un motor de políticas agénticas, permite medir, clasificar y controlar la actividad agéntica en sitios web, y autorizar o bloquear según la puntuación de riesgo, el tipo de automatización y la identidad del agente
  • Cuando se identifica una posible conducta fraudulenta por parte de un agente, usa un desafío basado en código QR para que una persona intervenga y demuestre su presencia, con el objetivo de hacer que el fraude automatizado sea económicamente inviable
  • Los clientes actuales de reCAPTCHA pasarán automáticamente a ser clientes de Fraud Defense, sin migración, acciones adicionales ni cambios de precio, y manteniendo intactas las claves de sitio e integraciones existentes

Plataforma de confianza para la web agéntica

  • Google Cloud lanzó Google Cloud Fraud Defense en Google Cloud Next
  • Fraud Defense es la siguiente etapa de evolución de reCAPTCHA, una plataforma de confianza para la web agéntica (agentic web)
  • Los agentes autónomos de IA pueden reforzar las interacciones en línea al usar la web pública y protocolos estándar de la industria para razonar, planificar y ejecutar transacciones complejas, pero también crean nuevos vectores de abuso y fraude
  • Fraud Defense aprovecha señales globales utilizadas para proteger el propio ecosistema de Google, de modo que las empresas puedan ofrecer experiencias confiables tanto a usuarios humanos como a agentes de IA

Medición y control del tráfico agéntico

  • Fraud Defense ofrece un conjunto de capacidades para que los clientes midan y controlen la actividad agéntica en sus sitios web

  • Medición de actividad agéntica

    • Un nuevo panel permite medir y comprender la actividad agéntica
    • Identifica, clasifica y analiza el tráfico agéntico usando estándares de la industria como Web Bot Auth y SPIFEE, junto con métodos existentes
    • Permite vincular la identidad del agente con la identidad humana para comprender mejor el riesgo y la confianza

  • Motor de políticas agénticas

    • Ofrece un control más detallado en múltiples etapas de la interacción del usuario final y a lo largo de todo el recorrido
    • El motor de políticas agénticas de Fraud Defense permite autorizar o bloquear agentes y usuarios según condiciones como la puntuación de riesgo, el tipo de automatización y la identidad del agente

  • Desafío resistente a la IA

    • Cuando se identifica una posible conducta fraudulenta por parte de un agente, permite que el proveedor de la aplicación disuada y mitigue solicitudes maliciosas con un nuevo desafío basado en código QR
    • Este desafío pide que una persona intervenga y demuestre su presencia, y está diseñado con el objetivo de volver económicamente inviable el fraude automatizado

Impacto en los clientes actuales de reCAPTCHA

  • reCAPTCHA seguirá siendo el eje central de defensa contra bots dentro de la plataforma más amplia de Fraud Defense
  • Los clientes actuales de reCAPTCHA pasarán automáticamente a ser clientes de Fraud Defense
  • No se requiere migración, tampoco acciones adicionales, ni hay cambios de precio
  • Las claves de sitio e integraciones existentes seguirán exactamente igual que ahora

Tres enfoques para la web agéntica

  • En la web agéntica, prevenir el fraude y el abuso debe llevar, en esencia, a una experiencia del cliente más simple
  • Fraud Defense utiliza tres enfoques para hacer posible una web agéntica segura y apoyar el crecimiento del negocio

  • Prevención de amenazas en evolución

    • Fraud Defense protege a las empresas con inteligencia de fraude utilizada para proteger varios servicios de Google
    • A medida que las amenazas pasan de la automatización con bots y el tráfico inválido al secuestro de agentes y al fraude de identidades sintéticas impulsado por IA a gran escala, identifica amenazas emergentes antes de que lleguen al sitio
    • Esta visibilidad se basa en un grafo de inteligencia de fraude a gran escala que ya protege al 50% de las empresas Fortune 100 y a más de 14 millones de dominios en todo el mundo
    • Ofrece un nivel de inmunidad colectiva y confianza verificada difícil de igualar solo con datos locales

  • Protección del recorrido del cliente

    • Los atacantes no apuntan a endpoints aislados, sino al recorrido digital completo
    • En la web agéntica, donde se confía a los agentes la ejecución de recorridos de extremo a extremo, este rasgo se intensifica
    • Fraud Defense permite ver el riesgo de forma integrada desde el registro y el inicio de sesión hasta el pago y el checkout
    • Correlaciona datos de telemetría a lo largo de todo el ciclo de vida para identificar campañas complejas de fraude en múltiples etapas que las soluciones puntuales aisladas no detectan
    • Este modelo de confianza unificado distingue entre actividad legítima de clientes y abuso sofisticado, y ha demostrado reducir el secuestro de cuentas (ATO) en un promedio de 51%

  • Aceleración del crecimiento del negocio

    • En la economía agéntica, la fricción reduce la conversión
    • Fraud Defense está diseñado para ser invisible para la mayoría de los usuarios, reemplazando los rompecabezas intrusivos por verificaciones silenciosas en segundo plano
    • Usa modelos de confianza inteligentes para bloquear con precisión bots, personas y agentes maliciosos, mientras permite el acceso a usuarios legítimos
    • Según el 2025 Shopify Retail Report, se proyecta que los asistentes de compra con IA aumenten el valor promedio de los pedidos en 25%

Vías adicionales para consultarlo

Lecturas relacionadas

1 comentarios

 
GN⁺ 1 시간 전
Comentarios de Hacker News

  • Los requisitos para dispositivos móviles están aquí: https://support.google.com/recaptcha/answer/16609652
    Parece que, para navegar por la web en el futuro, hará falta un dispositivo Android reciente con Google Play Services instalado o un iPhone/iPad reciente
    Todavía no se menciona la verificación de integridad del dispositivo, pero la dirección ya parece bastante obvia

    • Si Google Play Services está dentro de los requisitos, hay que entender que se necesita un dispositivo Android certificado capaz de presentar atestación de Play Integrity
      Porque esa es la única vía oficialmente soportada para obtener Google Play Services
      En este tipo de documentación de soporte para consumidores normalmente no detallan la implementación, como qué API usan, y aunque se requiera MEETS_DEVICE_INTEGRITY, es probable que no lo especifiquen aquí
      Por ejemplo, la documentación para consumidores de Google Pay también solo dice que hace falta un dispositivo Android “certificado” y bloqueo de pantalla: https://support.google.com/wallet/answer/12200245
      Si te vas hasta el final del FAQ, sí aparece que en teléfonos rooteados no se puede usar el pago sin contacto, pero ese requisito ya queda implícito dentro del requisito de certificación [1]
      Incluso desde la perspectiva de Google, por cuestiones legales ligadas a sus marcas registradas, Android == Google Android
      Si esta función no usa atestación del dispositivo, sería fácil engañarla y no tendría mucho sentido; aunque no la usen al inicio, parece probable que en los próximos años empiecen a meter atestación del dispositivo con A/B testing
      [1] “What to do if you see device is not certified” -> desplegar “Reset device to fix issue” https://support.google.com/android/answer/7165974
    • Mi experiencia con GrapheneOS se va a poner más emocionante
      Empujar a los usuarios al proceso oficial de verificación de identidad de Google solo para navegar por la web es una locura
      ¿La app de reCAPTCHA para iPhone también obliga a iniciar sesión con una cuenta de Google?
      Resulta que para que la web perdiera el anonimato ni siquiera hacía falta verificación de identidad
    • Parece que este método también va a requerir tener Bluetooth activado en ambos dispositivos
      Al menos así funciona la autenticación con passkey del teléfono al escanear un código QR mostrado en la computadora, y esto se ve parecido
      Bluetooth se usa para comprobar que ambos dispositivos realmente están físicamente en el mismo lugar
    • Si quieres recibir tráfico en tu sitio web, quizá ya sea hora de dejar de usar reCAPTCHA
      Claro, todos se van a rendir dócilmente, pero déjenme soñar unos minutos
    • Llevo años diciendo que navegar por la web desde un smartphone no tiene sentido
      Al final, cuando la situación empeore lo suficiente, la gente va a terminar dándome la razón

  • No puedo creer que estén promocionando un desafío basado en QR como un enfoque “agéntico” de defensa contra fraude
    Obligar a la gente a introducir datos que no puede leer es peligroso, y si un código QR termina contaminado con una URL de zero-day, sería desastroso
    Ya sé que hoy los códigos QR están por todos lados, pero escanear a ciegas un QR para abrir una URL se parece a ejecutar un binario descargado de internet
    El método de instalación curl $URL | bash en esencia es exactamente eso, pero por alguna razón se volvió algo muy extendido

  • No voy a comprar en empresas que me exijan escanear un código QR para hacerlo

    • En China eso no duraría mucho
      Allá, en la práctica, pagas escaneando códigos QR casi en cualquier lugar
    • Muchos restaurantes y tiendas obligan a hacer pedidos por código QR
      Empezó durante el COVID, pero se quedó, y por mi experiencia lo veo más seguido especialmente fuera de Estados Unidos
    • Ya viene en camino
      Los idiotas de Poshmark me pidieron una identificación oficial para comprar una camisa de 35 dólares
      Era una cuenta vieja y la dirección coincidía con la de la tarjeta de crédito, y aun así lo hicieron
      La única respuesta es borrar la cuenta

  • La función con QR parece algo que, una vez que la gente se acostumbre, se podría convertir con engaños en un medio de distribución de Pegasus

    • Escanear código QR → dice que no tienes instalada la “app de captcha” y te redirige automáticamente a Play Store → descargas malware por la pésima revisión de Google Play → ganancia
      Seguro no fui el primero en pensar esto, ¿no?
    • En general da para suspirar, y para agradecerles a nuestros “líderes visionarios” que poco a poco hacen todo un poco peor
      Pero al menos a cambio sí viene ese paraíso de IA, ¿verdad?
      ¿Verdad?

  • Lo pregunto en serio: ¿qué pasa si no tienes smartphone?

    • Eso significa que eres un siervo y por lo tanto no importas
      No hay de qué preocuparse
      Se asociarán con las telefónicas para ofrecerte dispositivos subsidiados que se ajusten a tu presupuesto, y lograrán que puedas comprarlos en cada oportunidad posible
    • La actitud general de la sociedad parece ser algo así como “pues lárgate”
      Y además vas a tener que comprar un dispositivo nuevo
      Muchas cosas ya son exclusivas de app o van en esa dirección, incluso viajar a ciertos países

  • Que los dispositivos móviles ya sean obligatorios para demostrar que eres “humano” significa que Google ya no confía en las plataformas de escritorio/abiertas

    • ¿Dónde está dicho eso exactamente?
      No lo encuentro en el texto original
    • ¿Y quién confía en eso?
      En mi opinión, la única plataforma de escritorio en la que se confía es macOS

  • El momento es bastante gracioso
    Durante la última semana me estuvieron bombardeando con CAPTCHA cada vez que buscaba desde la barra de direcciones, y hace menos de dos horas cambié todo a DuckDuckGo
    ¡Bien hecho, Google!

  • Estoy tratando de usar cada vez menos el teléfono
    Idealmente, hasta me gustaría cambiarme a un feature phone
    Pero si todos los sitios web empiezan a exigir escanear códigos QR con un smartphone certificado, esta estrategia lo va a volver casi imposible

    • Por eso más gente debería darse cuenta cuanto antes de que sí existen alternativas a la vida centrada en el teléfono en la que viven
      Tener teléfono móvil no es una obligación, ni debería llegar a serlo
      Los políticos también tendrían que despertar un poco

  • Google claramente quiere que solo los modelos aprobados por Google puedan andar por la web