La
tecnología
avanza
a
pasos
agigantados,
y
sectores
como
la
venta
de
entradas
online
se
aprovechan
de
ello
tanto
como
lo
sufren.
Uno
de
los
desafíos
a
los
que
tienen
que
hacer
frente,
por
ejemplo,
es
la
lucha
constante
contra
los
bots
automatizados
que
acaparan
entradas
para
su
posterior
reventa.
Y
el
problema
es
que
una
solución
ampliamente
adoptada
en
el
pasado
—el
uso
de
CAPTCHAs—
parece
haber
perdido
efectividad.
O
al
menos
así
lo
asegura
Raphael
Michel,
creador
de
pretix,
un
sistema
de
venta
de
entradas
de
código
abierto,
quien
declara
sin
rodeos
que
«Los
CAPTCHAs
ya
no
proporcionan
una
protección
significativa
contra
bots».
El
auge
de
los
bots
y
la
caída
de
los
CAPTCHAs
El
problema
es
bien
conocido:
muchos
eventos
tienen
una
demanda
muy
superior
a
la
oferta
de
entradas.
Esta
situación
es
un
caldo
de
cultivo
para
los
scalpers,
individuos
o
grupos
que
utilizan
bots
para
comprar
entradas
en
masa
y
revenderlas
luego
a
precios
exorbitantes.
Y
lo
que
muchos
podrían
plantear
como
una
solución
económica ‘ideal’
(aumentar
los
precios
de
las
entradas
hasta
alcanzar
un
equilibrio
de
mercado)
es
rechazada
por
la
mayoría
de
organizadores
por
razones
éticas.
Ante
ello,
el
recurso
habitual
ha
sido
técnico:
los
CAPTCHAs.
Estas
pruebas
buscan
distinguir
humanos
de
máquinas
exigiendo
la
realización
de
tareas
simples
para
personas
pero
difíciles
para
ordenadores.
Sin
embargo,
con
los
últimos
avances
en
inteligencia
artificial
(IA),
estas
clasificaciones
de
dificultad
han
dejado
de
ser
ciertas.
Ya
no
quedan
problemas
que
los
humanos
resuelvan
mejor
Inicialmente,
los
CAPTCHAs
se
basaban
en
el
reconocimiento
de
texto
distorsionado;
más
tarde,
migraron
a
la
identificación
de
imágenes
(como
los
famosos
cuadros
con
motocicletas,
semáforos
o
puentes)
y
tareas
auditivas.
Hoy,
por
desgracia,
muchos
modelos
de
IA
superan
con
facilidad
todas
estas
pruebas,
y
cualquier
intento
de
hacerlas
más
difíciles
también
incrementa
la
dificultad
para
los
humanos,
volviéndolas
inútiles
o
inaccesibles.
Además,
la
necesidad
de
accesibilidad
—obligatoria
en
Europa
gracias
a
leyes
como
el
European
Accessibility
Act—
limita
aún
más
las
posibles
variantes
de
CAPTCHAs,
pues
deben
ofrecer
alternativas
para
usuarios
con
discapacidades
visuales
o
auditivas.
Si
la
IA
es
el
problema,
¿puede
ser
también
la
solución?
Los
proveedores
de
seguridad
han
girado
hacia
la
monitorización
de
comportamiento
mediante
modelos
de
aprendizaje
automático.
Soluciones
como
reCAPTCHA
v3
analizan
múltiples
datos
del
usuario
—movimientos
del
ratón,
historial
de
navegación,
velocidad
de
clics,
etc.—
para
estimar
si
se
trata
de
un
humano
o
un
bot.
Este
enfoque
presenta
dos
grandes
problemas:
-
Privacidad:
Requiere
recopilar
enormes
volúmenes
de
datos
personales,
muchas
veces
a
través
de
múltiples
sitios
web.
Esto
genera
preocupaciones
éticas
y
legales. -
Falsos
positivos:
Un
error
del
sistema
puede
bloquear
a
grupos
enteros
de
usuarios
legítimos,
como
quienes
usan
tecnologías
de
asistencia
o
visitan
el
sitio
por
primera
vez.
En
contextos
de
alta
demanda,
como
la
venta
de
entradas,
no
hay
margen
para
revisiones
manuales:
o
se
vende
el
ticket,
o
se
pierde
la
oportunidad.
Cuando
los
bots
se
comportan
como
humanos
Incluso
las
señales
técnicas,
como
diferencias
en
tiempos
de
carga
o
ejecución
de
JavaScript,
ya
no
son
útiles.
Los
bots
modernos
usan
navegadores
reales,
controlados
por
código,
de
manera
casi
indistinguible
de
un
humano…
o,
al
menos,
de
un
usuario
que
depende
de
un
lector
de
pantalla.
La
delgada
línea
entre
ambos
hace
imposible
usar
ciertas
métricas
sin
excluir
involuntariamente
a
usuarios
legítimos.
¿Pruebas
de
trabajo
como
solución?
Otra
alternativa
son
los
esquemas
de
proof
of
work,
que
obligan
al
ordenador
del
usuario
a
resolver
un
problema
computacionalmente
costoso.
Esto,
sin
duda,
logra
encarecer
el
uso
masivo
de
bots,
pero
en
el
contexto
del ‘ticketing’
es
ineficaz:
el
margen
de
ganancia
por
reventa
justifica
sobradamente
ese
coste
computacional.
Además,
este
método
es
poco
ético
desde
una
perspectiva
ecológica,
ya
que
desperdicia
energía
en
la
realización
de
tareas
inútiles.
CAPTCHAs
baratos,
bots
más
baratos
Incluso
si
existieran
nuevas
formas
de
CAPTCHA
efectivas,
siempre
habrá
soluciones
como
servicios
que
combinan
IA
con
trabajadores
humanos
mal
remunerados
para
resolverlos
a
escala
y
a
bajo
coste.
Existen
empresas
especializadas
que
solucionan
CAPTCHAs
a
velocidades
industriales,
minando
la
utilidad
de
cualquier
barrera.
¿Entonces,
qué
funciona?
Para
Michel,
quedan
pocas
herramientas
realmente
útiles:
-
Personalización
fuerte
de
entradas:
Vincularlas
a
nombres
y
documentos
de
identidad
verificados
puede
disuadir
la
reventa,
aunque
puede
dificultar
la
compra
para
grupos
o
parejas
que
no
saben
aún
quién
asistirá. -
Límites
por
recursos
difíciles
de
falsificar:
Por
ejemplo,
restringir
el
número
de
entradas
por
número
de
teléfono,
tarjeta
de
crédito
o
cuenta
bancaria.
Esto
no
detendrá
a
todos
los
actores
maliciosos,
pero
sí
encarece
el
proceso,
desincentivando
el
fraude
a
gran
escala.
El
teorema
BAP:
un
triángulo
imposible
Michel
propone
una
analogía
con
el
famoso
teorema
CAP
de
las
bases
de
datos.
En
su ‘teorema
BAP’,
afirma
que
es
imposible
tener
simultáneamente
estas
tres
propiedades
en
un
sistema
de
protección
contra
bots:
-
B:
Resistencia
a
bots -
A:
Accesibilidad -
P:
Respeto
a
la
privacidad
Solo
se
puede
elegir
dos:
-
BA:
Resistente
y
accesible,
pero
no
respetuoso
con
la
privacidad
(requiere
identificar
fuertemente
al
usuario). -
BP:
Resistente
y
privado,
pero
no
accesible
(puede
excluir
a
personas
con
discapacidades). -
AP:
Accesible
y
privado,
pero
vulnerable
a
los
bots.
La
conclusión
es
clara
y
preocupante:
los
organizadores
deben
elegir
entre
protegerse
de
bots
o
respetar
la
privacidad
de
sus
usuarios.
Las
soluciones
tecnológicas
actuales
no
permiten
ambas
cosas
a
la
vez,
al
menos
en
un
entorno
tan
competitivo
y
lucrativo
como
el
de
la
venta
de
entradas.
Imagen
|
Marcos
Merino
mediante
IA
En
Genbeta
|
HBO
la
lía
en
Max:
su
forma
de
comprobar
si
somos
humanos
se
ha
vuelto
viral
por
ser
tan
desternillante
como
difícil
