La propuesta de credenciales web de Mozilla para mantener la apertura y la privacidad incluso en la era de los bots

 (blog.mozilla.org)
3 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • A medida que aumenta el abuso por bots, los sitios web están reforzando los CAPTCHA y los requisitos de inicio de sesión, y hasta los usuarios legítimos terminan sufriendo más fricción de acceso y una menor privacidad
  • Reforzar la prevención de rastreo en el navegador es necesario para proteger a los usuarios, pero también debilita señales como la dirección IP y la huella del navegador, que los sitios tradicionales usaban para la prevención de abuso
  • Mozilla considera que las pruebas de confianza del dispositivo como Web Environment Integrity podrían transferir el control del acceso web a un pequeño grupo de proveedores de sistemas operativos y hardware
  • La alternativa es un enfoque de credenciales anónimas que permita comprobar si alguien se mantiene dentro de límites razonables de uso sin revelar su identidad ni quién emitió la credencial
  • Cloudflare y otros navegadores y actores del ecosistema web ya comenzaron a diseñarlo, con el objetivo de reducir los CAPTCHA, los bloqueos innecesarios y las exigencias de autoidentificación

El punto donde la protección de la privacidad choca con la prevención de abuso

  • La protección de la privacidad en la web sigue fortaleciéndose
    • Los navegadores que priorizan la privacidad están eliminando las cookies de terceros
    • También combaten a los rastreadores limitando el fingerprinting del navegador y ocultando las direcciones IP
  • Este cambio genera nuevos costos en la experiencia del usuario
    • Los usuarios se enfrentan a más CAPTCHA, solicitudes de inicio de sesión y páginas de bloqueo
    • Las direcciones IP y las huellas del navegador se usaban para perfilar usuarios, pero al mismo tiempo también servían como señales de prevención de abuso para los sitios
  • El aumento del tráfico de bots también representa una carga directa para la operación de los sitios
    • Los abusos masivos como credential stuffing y el spam pueden causar daños reales
    • Incluso los visitantes legítimos terminan soportando más fricción y menos privacidad, y los sitios pueden alejar justo a los usuarios a los que querían servir
  • Si nada cambia, se presionará a los usuarios a elegir entre privacidad y acceso web
  • Propuestas como Web Environment Integrity (WEI) buscan que el usuario demuestre al sitio que su dispositivo y software son “confiables”
    • Mozilla considera que este enfoque traslada el control del dispositivo del usuario a un pequeño grupo de proveedores de sistemas operativos y hardware
    • Esos proveedores pasarían a decidir qué dispositivos y software pueden acceder a la web, lo que va en sentido contrario a la web abierta

Cómo probar límites de velocidad con credenciales anónimas

  • El núcleo del daño causado por los bots está en la ejecución a gran escala
    • El sitio no necesita conocer la identidad del usuario
    • Tampoco necesita comprobar si el dispositivo del usuario ejecuta solo software autorizado
    • Basta con saber si permanece dentro de un límite de velocidad razonable
  • Para que el límite de velocidad funcione, debe ser difícil para un atacante crear una nueva identidad y reiniciar el límite
    • Una razón por la que los sitios piden direcciones de correo, inicio de sesión federado o huellas del dispositivo es hacer que obtener un nuevo identificador tenga un costo
    • El problema es que esos identificadores también pueden usarse para rastrear
  • Las relaciones existentes del usuario con otros sitios pueden servir como una garantía discreta
    • Por ejemplo, un sitio con el que el usuario tenga una relación, como una suscripción o una cuenta antigua, podría respaldarlo
    • Un sitio visitado por primera vez podría confiar en que el usuario es real y está dentro del límite, pero no debería conocer su identidad ni el origen de ese respaldo
  • El caso de las VPN muestra bien por qué este enfoque es necesario
    • Muchos sitios web bloquean por completo el tráfico de VPN porque mezcla tráfico legítimo con tráfico abusivo
    • Si el servicio de VPN pudiera respaldar a cada suscriptor, el sitio podría gestionar límites de velocidad por suscriptor
    • Pero si el sistema de respaldo permitiera rastrear a los usuarios de VPN, se perdería el propósito mismo de usar una VPN
  • Los Private Access Tokens de Apple, basados en Privacy Pass, ofrecen tokens de un solo uso para evitar que las visitas queden vinculadas entre sí
    • Mozilla considera que incluso este enfoque tiene limitaciones importantes
    • Al igual que WEI, depende de pruebas del dispositivo y no evita el control de acceso basado en hardware
    • También resulta difícil abrir el sistema para que más actores puedan respaldar a los usuarios manteniendo la privacidad, y el control puede concentrarse en unos pocos
  • La arquitectura que busca Mozilla es un sistema en el que cualquiera pueda respaldar a un usuario y cada sitio pueda elegir por sí mismo en qué respaldadores confiar
  • Anonymous credentials permiten que una credencial emitida por una entidad sea presentada más adelante por el usuario a un sitio solo un número limitado de veces, sin que el sitio ni el emisor puedan rastrear su uso
    • También permiten ocultar quién emitió la credencial y demostrar solo que proviene de uno de un conjunto de emisores de confianza
  • Mozilla ya comenzó a diseñar este sistema junto con Cloudflare y otros actores del ecosistema web, incluidos otros navegadores
  • El objetivo final es lograr menos CAPTCHA, menos bloqueos innecesarios y menos exigencias de autoidentificación sin sacrificar la privacidad

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Comentarios en Lobste.rs

  • “Con Cloudflare” = rechazo inmediato
    Si ves el technical overview del resumen técnico, dice que Privacy Pass se usa en Apple, Chrome y Kagi, pero la forma en que Kagi lo usa no ofrece una búsqueda privada de manera significativa
    Kagi opera Origin, Attester e Issuer al mismo tiempo, así que considero que viola un principio clave de la arquitectura de Privacy Pass

    • Eso no es correcto. La arquitectura de Privacy Pass sí admite que una sola entidad asuma los tres roles (RFC 9576 §4.6)
      Aun así, los canales laterales de temporización sí pueden ser motivo de preocupación. Las credenciales anónimas de presentación múltiple ayudan bastante a reducir esos canales laterales en comparación con los tokens de un solo uso que actualmente se despliegan en Privacy Pass
  • El artículo técnico está enlazado al final: https://hacks.mozilla.org/2026/06/…
  • Me da gusto ver avances aquí. En un trabajo anterior seguí intentos previos y participé un poco
    Pero me genera dudas la parte que dice que “si un usuario no tiene ningún Endorsement de un Anchor adecuado, puede inicializar una Credential mediante mecanismos existentes como CAPTCHA, creación de cuenta o inicio de sesión federado”
    CAPTCHA no funciona bien salvo como medio para hacer que el usuario se quede el tiempo suficiente como para que le recopilen huellas digitales del navegador, y la creación de cuenta y el inicio de sesión federado al final también tienen que poner una barrera mediante otros mecanismos, así que solo desplazan el problema un nivel más arriba
    Además, no puedes exigirle a alguien que intenta entrar a su banco desde una computadora de biblioteca que cree una cuenta nueva en otro sitio web. Hoy en día, los “mecanismos existentes” dependen muchísimo del fingerprinting del navegador o, como Apple, de la atestación de hardware; si el objetivo de Mozilla y otros es hacer imposible el fingerprinting, no veo cómo funcionaría esto
  • Me pregunto si no sería más útil hacer que los navegadores normales cacheen las páginas web de forma agresiva. Entiendo que eso podría facilitar el fingerprinting de usuarios o permitir que los bots compartan caché
    Pero el problema principal de internet no es que Shopify pierda dinero por fraude, sino que el contenido que visitamos está desapareciendo
  • No sé. Me parece que una forma mucho más eficiente de mantener la web abierta sería tratar con la causa, los rastreadores, en vez de buscar soluciones indirectas
    Por ejemplo, no meterle IA a todo, y no apoyar ni hacer posibles a las empresas que causaron este desastre desde el principio. Si los rastreadores simplemente dejaran de funcionar, no harían falta estas soluciones indirectas
    • Todas las empresas involucradas están profundamente metidas en IA de una forma u otra. La venden directamente o han pivotado todo su modelo de negocio e identidad de marca hacia eso
    • Hay una frase que dice: “si la solución a algún problema depende de que ‘todos simplemente ...’, entonces no es una solución. Todos simplemente no hacen eso. Nunca en la historia del universo todos simplemente han hecho eso, y no van a empezar ahora” (source)
      Aun así, aunque es cierto que la IA causó un aumento repentino del tráfico, este problema es muchísimo más antiguo que la IA y los rastreadores ni siquiera son el problema más grave. Por ejemplo, es más grave el uso de volcados de credenciales filtradas para probar accesos a bancos, o los ataques de fuerza bruta contra tarjetas de regalo y tarjetas de crédito
      Aunque la IA desapareciera, solo volveríamos a un mundo al nivel de 2021, y para entonces este problema ya llevaba muchísimo tiempo siendo muy serio