Los tokens de acceso privado y el futuro de la lucha contra el fraude
Hace unos meses, anunciamos la llegada de un nuevo protocolo de autorización compatible con Fastly conocido como «tokens de acceso privado» (PAT). Con los PAT, los administradores de origen, los equipos de DevOps, los expertos en seguridad o cualquier persona que ejecute una aplicación web obtendrán un certificado de respeto de privacidad de las propiedades del cliente sin interferir en la experiencia de usuario. Todo esto es posible gracias a este protocolo de intercambio de tokens que se basa en relaciones de confianza y en una criptografía avanzada.
Pero ¿cómo es todo esto llevado a la práctica? En este artículo, describiremos el gran avance que supone esta nueva funcionalidad en la lucha contra la actividad automatizada fraudulenta o abusiva. Hoy en día, los administradores se ven obligados a tomar una serie de decisiones para encontrar el equilibrio entre la seguridad, la privacidad, la experiencia de usuario y los resultados empresariales. Al implementar los PAT, lo que pretendemos es proporcionar una solución que mejore esos cuatro ámbitos y se presente como la mejor del mercado en mitigación de bots.
Las soluciones actuales y los problemas con los captcha
A día de hoy, la mayoría de los métodos para combatir el fraude y la automatización se basa en gran medida en los captcha (un test de Turing público y automático que permite diferenciar a los ordenadores de las personas) que sirven para distinguir el tráfico humano del automático. Se trata de las típicas pruebas en las que tienes que seleccionar las fotografías que contienen señales de tráfico o escribir las letras de una imagen en un cuadro de texto para demostrar que eres humano. Se basan en la premisa de que cualquier cliente que no consiga pasar la prueba de captcha es un bot. Este método presenta muchas ventajas y se usa a menudo en procesos de finalización de compras, en páginas de inicio de sesión o en cualquier contexto que sea susceptible de sufrir un abuso automatizado.
Sin embargo, el uso de los captcha también tiene desventajas. Por ejemplo, los captcha y otros proveedores de mitigación de bots recopilan los datos del navegador para tomar las decisiones de diferenciación entre seres humanos y bots. Por lo tanto, no es ninguna sorpresa que no compartan el tipo de información que recopilan o el uso que hacen de esta. Ese es el secreto de su funcionamiento, pero también un problema de privacidad para los usuarios finales, que deben conocer los datos de su navegador para acceder a los recursos de la web.
Además, algunos atacantes han encontrado varias maneras de burlar el control de los captcha y otras soluciones de mitigación de bots. Los atacantes pueden contratar servicios de granjas de captcha, donde hay personas que se dedican a resolver las pruebas y tareas que las máquinas no pueden completar. Todo ello por un módico precio de menos de un dólar por cada mil pruebas resueltas. Pero, aunque los captcha puedan inclinar la balanza en contra de un ataque por lo caro que puede resultar a los atacantes, bien es cierto que si alguien se propone realizar un ataque, seguro que acabará encontrando una forma de completarlo.
Por último, los captcha pueden suponer todo un reto para la experiencia de usuario, y esto quizás sea lo más importante. Cualquiera que tenga interés en la experiencia de usuario sabe que hacer más de un clic en un flujo crítico para el negocio, como la página para realizar el pago, puede provocar una disminución en las tasas de conversión. Si añades una prueba con varios clics en esos flujos, verás la reacción de algunos administradores: preferirán asumir las consecuencias de un fraude antes que usar una prueba con varios clics que perjudique la experiencia de usuario. Según Baymard Institute, se estima que hasta un 29 % de los usuarios legítimos puede fallar las pruebas de captcha en su primer intento. Esta cifra preocupa a las empresas que quieren ofrecer experiencias de usuario excelentes para sus usuarios y clientes.
Un nuevo y mejor enfoque: las promesas de los tokens de acceso privado
Los PAT ofrecen una solución al problema básico de los captcha y otras técnicas de mitigación de bots disponibles en la actualidad, que consideran todo el tráfico como sospechoso y dependen de la acción del usuario y de los datos del navegador para enfrentarse a los riesgos. Los PAT se enfrentan a este problema de otra manera, ya que dependen de un patrón familiar que considera que un tercero de confianza puede verificar de manera más efectiva la parte desconocida que interviene en una transacción. Es como enseñar el carné de identidad para demostrar que eres mayor de edad: un tercero conoce cierta información personal sobre ti y la otra parte que interviene en la transacción confía en ese tercero.
En artículos anteriores hemos hablado en detalle sobre el funcionamiento de los PAT, pero hagamos un breve resumen. Los PAT se basan en relaciones de confianza entre los autenticadores y los emisores, por un lado, y entre estos y los administradores de origen, por otro. Cuando un cliente pide un recurso desde un origen, el origen puede hacer una petición para que el cliente proporcione un token de un emisor de confianza. Si el cliente es compatible con este proceso, podrá pedir al emisor de confianza que recupere un token de un emisor específico. Cuando la confianza se mantiene como es debido entre todas estas partes y el cliente posee la propiedad correcta que busca el origen, se puede generar un token con seguridad criptográfica y firmado a ciegas. Este se devuelve a la cadena para que el cliente tenga acceso al recurso de origen que había solicitado. El acceso se concede porque el origen ya tiene la certeza de que el cliente tiene la propiedad de ese recurso.
Pese a haber centrado el tema de este artículo en la lucha contra los abusos de automatización mediante los PAT y en utilizarlos como alternativa a los captcha, es importante destacar que los PAT están creados para autenticar de manera privada cualquier tipo de información de la que un origen quiera disponer. No solo sirven para diferenciar entre humanos y bots. Por ejemplo, los orígenes pueden querer distribuir contenido restringido para ciertos dispositivos por razones de edad o de geolocalización y los PAT pueden verificar que los clientes cumplen con estos requisitos sin perder la privacidad del cliente. De este modo, los PAT se convierte en una solución preferible para resolver el problema de la clasificación entre personas y bots, ya que también presentan otras ventajas tangibles para el negocio.
La única limitación que tienen los PAT a día de hoy es que son relativamente nuevos. Solo los dispositivos de Apple que ejecutan iOS 16 o MacOS Ventura (actualmente en fase beta) son compatibles con los PAT. Hasta que este ecosistema de emisores y autenticadores no llegue a más tipos de dispositivos de cliente, los administradores de origen necesitarán un sistema alternativo para verificar las propiedades de los clientes cuando las pruebas de los PAT fallen. Sin embargo, este protocolo presenta muchas ventajas y se respira mucho entusiasmo, por lo que todo indica que muy pronto otros proveedores de dispositivos y navegadores de grandes marcas aparte de Apple darán soporte a la autenticación con PAT.
En Fastly estamos encantados de poder ofrecer un emisor de prueba a los desarrolladores que quieran probarlo. Además, tenemos un programa de emisores en versión beta disponible para los interesados y planeamos implementar las pruebas de PAT como acción de regla en el WAF de última generación de Fastly (con tecnología de Signal Sciences). No dudes en ponerte en contacto con nuestros expertos si te interesan estos productos y sigue atento a todo lo que publiquemos con nueva información sobre los PAT a medida que este ecosistema se vaya desarrollando.
Este artículo forma parte de la serie Privacy Week, donde podrás descubrir historias sobre cómo Fastly consigue integrar su tecnología y sus prácticas de privacidad en el tejido más profundo de internet.
