Nuevo reCAPTCHA exige un teléfono aprobado para poder pasar

 (cybernews.com)
2 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • El nuevo reCAPTCHA de Google exige verificar escaneando un código QR con un dispositivo móvil compatible, incluso cuando se usa una PC de escritorio o laptop
  • GrapheneOS advierte que, si no se tiene un dispositivo iOS o Android con Google Play Services instalado, podría bloquearse el acceso a servicios en línea
  • La lista de dispositivos compatibles de Google solo incluye Android con Google Play Services y equipos con iOS/iPadOS, por lo que smartphones Android sin Google podrían no completar la verificación
  • Google considera que este método basado en códigos QR busca impedir que los agentes de IA resuelvan fácilmente los desafíos anteriores y volver económicamente inviable el fraude automatizado
  • En Hacker News, X y Reddit, entre otros, crece el rechazo a que la atestación remota y la exigencia de dispositivos autenticados limiten la libertad informática y la competencia en el mercado móvil más que reforzar la seguridad

Qué cambió: las nuevas restricciones de dispositivos en reCAPTCHA

  • La estructura ahora exige tener un Android aprobado o un iPhone para demostrar que se es humano, y el usuario debe escanear un código QR con un "dispositivo móvil compatible"
    • GrapheneOS advierte que los usuarios de sistemas operativos y dispositivos centrados en la privacidad quedan excluidos de la verificación
  • Con este cambio reciente, dispositivos y sistemas operativos arbitrarios como smartphones Android sin Google ya no pueden completar la verificación de reCAPTCHA de Google
  • La lista de dispositivos capaces de completar la verificación se limita únicamente a Android con Google Play Services instalado y dispositivos con iOS/iPadOS
  • reCAPTCHA es una herramienta de seguridad usada por millones de sitios web y servicios importantes para distinguir entre personas y bots
    • La mayor parte del tiempo funciona de forma invisible en segundo plano, pero si detecta señales sospechosas puede mostrar desafíos como identificar hidrantes o semáforos

  • Críticas de GrapheneOS

    • GrapheneOS calificó esta medida en un comunicado público como "profundamente anticompetitiva"
    • "El control sobre reCAPTCHA coloca a Google en una posición desde la que puede exigir iOS o dispositivos Android certificados para usar enormes partes de la web"
    • Define este cambio como una expansión de la atestación basada en hardware, y señala que excluye cada vez más a la competencia en hardware y sistemas operativos
      • attestation: método por el cual el hardware demuestra criptográficamente, mediante un chip de seguridad integrado, que es un dispositivo genuino
    • "El propósito de este sistema es impedir el uso de hardware y software no aprobados por Apple o Google, y eso se presenta erróneamente como una función de seguridad"
      • "Se permiten dispositivos sin parches desde hace 10 años mientras se bloquean sistemas operativos mucho más seguros"; sostienen que el objetivo es imponer un monopolio mediante el licenciamiento de Google Mobile Services

  • Cloud Fraud Defense y desafíos resistentes a IA

    • El nuevo reCAPTCHA forma parte de la plataforma Cloud Fraud Defense, anunciada el 22 de abril, diseñada para verificar la legitimidad de bots, humanos y agentes de IA
    • Google explica que "el aumento de la automatización sofisticada exige un cambio fundamental en la gestión del riesgo"
    • La lista de compatibilidad solo incluye dispositivos Android con Google Play Services instalado y equipos con iOS/iPadOS
    • Los operadores de sitios web pueden usar controles detallados para permitir o bloquear bots y agentes de IA según condiciones como puntaje de riesgo, tipo de automatización e identidad del agente
    • El nuevo CAPTCHA basado en código QR busca bloquear a agentes de IA que pueden resolver fácilmente los desafíos anteriores
      • Google explica que "este desafío de mitigación resistente a IA, que prueba la presencia humana, fue diseñado para volver económicamente inviable el fraude automatizado"
    • Google migrará a los clientes actuales de reCAPTCHA a Fraud Defense sin acciones adicionales ni cambios de precio
    • La función se ha desplegado silenciosamente al menos desde octubre de 2025, cuando una publicación del blog anunció el enfoque con código QR que ofrece "una seguridad más sólida y resistente a IA"
      • Incluso al navegar desde una PC o una Mac, la intervención de un dispositivo móvil físico aporta una "atestación de alta confianza de que existe un humano único"
    • GrapheneOS explica que "esto introduce un requisito de atestación de hardware en Windows, Linux de escritorio, OpenBSD y otros, al exigir que un smartphone certificado escanee el QR. Podría ampliarse aún más"
    • Defensores de la privacidad advierten que servicios que exigen cada vez más Apple App Attest o Google Play Integrity están consolidando el duopolio del mercado móvil
      • GrapheneOS menciona que "la UE está impulsando este tipo de requisitos en pagos digitales, identidad y verificación de edad, y muchas apps de gobiernos de la UE ya los exigen"

Rechazo y preocupaciones

  • Los operadores de sitios web deciden qué solución CAPTCHA usar y qué tan estrictamente aplicarla
  • Defensores de la privacidad advierten que el aumento de requisitos como Apple App Attest o Google Play Integrity refuerza la estructura de dos grandes actores en el mercado móvil
  • GrapheneOS considera que la UE está liderando la tendencia de aplicar estos requisitos a pagos digitales, identidad y verificación de edad, y que muchas apps gubernamentales de la UE los exigen

  • Reacciones de la comunidad técnica y redes sociales

    • En la comunidad técnica de Hacker News, se extendió la opinión de que el centro del debate no es la seguridad sino la captura de poder
    • Un usuario de Hacker News escribió: "La atestación remota será la forma en que muera nuestra libertad informática"
    • En X, publicaciones relacionadas obtuvieron millones de visualizaciones y decenas de miles de interacciones
    • International Cyber Digest escribió que los usuarios de teléfonos Android sin Google como GrapheneOS, CalyxOS y /e/OS quedarán bloqueados de millones de sitios web si no instalan Google Play Services, que eliminaron deliberadamente
    • International Cyber Digest lo expresó así: "Google ahora trata la privacidad como un comportamiento sospechoso por defecto"

  • Intentos similares en el pasado y preocupaciones de seguridad

    • La empresa de privacidad en línea Mega señaló que Google intentó implementar en 2023 una medida similar llamada Web Environment Integrity, pero la retiró tras la reacción pública
      • "Esta vez la lanzó como producto comercial en vez de como propuesta pública. Por ahora se puede acceder a los CAPTCHA existentes como alternativa, pero no está claro hasta cuándo se mantendrán"
      • "Nadie que no tenga un dispositivo autenticado podrá verificarse"
    • En Reddit también continuó una discusión similar
      • Un usuario de Reddit rechazó la intervención del código QR en CAPTCHA y advirtió que es otra vía de vigilancia, como la verificación de edad y las medidas anti-VPN
      • Algunos usuarios temen que el nuevo reCAPTCHA con QR pueda abrir nuevas vías de ataque para estafadores, como verificaciones falsas de códigos QR e imitación del flujo de validación
      • "Quienes diseñaron esto no consideraron en absoluto la seguridad. Los estafadores van a estar encantados"

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Comentarios de Lobste.rs

  • Desde la perspectiva de la seguridad del comportamiento del usuario, esto parece un gran retroceso
    Ahora un atacante puede falsificar el código QR de reCaptcha para mandar al usuario a donde quiera, y no hay garantía ni expectativa de que pueda verificar si ese código es real
    Ya existen páginas falsas de Cloudflare Turnstile que te piden presionar Windows+R y pegar algo, así que parece casi imposible educar a los usuarios sobre cómo manejar esto

    • Es una muy buena forma de atacar la autenticación de dos factores cuando el segundo factor es el teléfono
      Ahora pueden enviar ambos factores de autenticación a un lugar controlado por el atacante
    • Horrible
      Pensé que para escanear el código QR haría falta una app dedicada de reCaptcha, pero no, es solo un código QR con una URL normal
    • Parece algo a lo que se podría oponer una organización con el argumento de que “esto es indistinguible del phishing real y va a perjudicar mucho a los usuarios”
      Aunque no sé si harían caso si ya lo están intentando

  • La primera vez que vi esto me sorprendió porque pensé que era un intento de phishing mal hecho
    En ese momento estaba usando Tor, y si escaneaba el código con un teléfono vinculado a mi cuenta de Google, eso podía romper ese anonimato
    Podía volver al CAPTCHA visual, pero me preocupa que pronto también desaparezca esa opción
    Si eso pasa, será mucho más difícil usar internet de forma anónima
    Lo de que es “AI-resistant” también es una tontería
    Cuesta creer que no hayan imaginado automatizar el proceso de escanear un código QR

    • Exactamente ese es el objetivo
      La meta final es excluir todos los dispositivos que tengan acceso libre a computación de propósito general y eliminar el anonimato de todos los visitantes
    • Seguro que conocen la posibilidad de automatizar el escaneo de códigos QR
      Pero, como dice la publicación, este proceso exige usar hardware específico, y el punto clave es poder demostrar físicamente ese hardware
      El objetivo es hacer que escalar sea caro
      Si te bloquean el teléfono, ya no reinicias un contenedor de Docker, sino que tienes que conseguir otro teléfono
      No sé exactamente cómo funciona el código QR ni si usan un identificador estable
      Podrían existir opciones menos invasivas, como un contador TPM, o incluso podrían usar un método completamente distinto
      Aun así, creo que la razón para exigir hardware específico es hacer posible la prueba de hardware
      Esto básicamente persigue el mismo objetivo que la propuesta de integridad del entorno web, pero de una forma más molesta
      Esa vía se frenó por el rechazo a WEI, pero el problema de los ataques Sybil que intentaba resolver no ha desaparecido, y si el costo de ataques Sybil ilimitados es casi 0, la web en su forma actual no puede sostenerse de fondo
      Así que van a seguir intentando resolverlo de una forma u otra

  • Yo navego sobre todo en desktop o laptop, y no pienso escanear con mi teléfono un código QR de un sitio web cualquiera
    En ese caso simplemente me iré a otro lado

  • Uso GrapheneOS y espero poder seguir usándolo
    Da la impresión de que cada vez voy a necesitar más un dispositivo secundario para apps bancarias y ahora también para CAPTCHA, lo cual es un desperdicio enorme

    • Más bien, cada vez es más importante decir no a los servicios que exigen cosas así

  • No entiendo cómo funciona esto
    ¿Cómo verifican con qué dispositivo estoy escaneando el código?
    Parece algo que inevitablemente se puede falsificar con facilidad, así que no lo entiendo

  • Yo solo tengo un teléfono de tapa, ¿entonces ya no podré usar los sitios con reCaptcha?

  • Me pregunto si los capitalistas tecnológicos no lograron resolver lo bastante rápido el problema de “quitarle el anonimato a los usuarios a partir de sus patrones de publicación”