Recientemente, Google está probando una nueva función para fortalecer la verificación reCAPTCHA: "Hand Gesture Verification" (HGV), que recopila videos de las manos de los usuarios para determinar si son personas reales. Sin embargo, esta característica rápidamente generó controversia en términos de privacidad y seguridad.

Según la documentación oficial de Google, HGV requiere que los visitantes del sitio web otorguen acceso a la cámara de su dispositivo para grabar "uno o más" videoclips con las manos. Durante el proceso de verificación, el usuario debe saludar o hacer un gesto designado hacia la cámara, y el sistema extraerá características biométricas clave para determinar si el operador es un ser humano en lugar de un guión automatizado o un robot.

Google cree que este método de identificación biométrico puede mejorar la seguridad de reCAPTCHA, pero los resultados reales de las pruebas muestran que HGV no logró los resultados esperados. Los investigadores de seguridad y los usuarios comunes han utilizado con éxito imágenes de archivo y funciones de cámaras virtuales para eludir este sistema: el atacante solo necesita preparar una foto de "saludo" o de la mano correspondiente al movimiento, y la verificación se puede completar a través de la salida de la cámara virtual de software como OBS Studio, sin la necesidad de que una cámara real y una persona real cooperen.

Con el avance de la tecnología de automatización y aprendizaje automático, los robots de IA han "roto" con frecuencia los sistemas de códigos de verificación existentes. Múltiples estudios han demostrado que los códigos de verificación gráficos tradicionales, como el complejo reconocimiento de semáforos, pueden resolverse mediante herramientas automatizadas en la mayoría de los casos. Los primeros casos de fracaso de HGV resaltan aún más que incluso si se introduce la biometría, si el proceso de interacción y el canal en sí carecen de un diseño antifalsificación, también pueden ser evitados en lotes por cámaras virtuales, imágenes de archivo y guiones simples.

Además de la eficacia técnica, las cuestiones de privacidad también se han convertido en foco de controversia. Los críticos señalan que tales esquemas de verificación basados ​​en cámaras y datos biométricos "normalizarán" de manera invisible el monitoreo continuo en segundo plano de los usuarios, permitiendo a los usuarios abrir datos de cámaras más sensibles a grandes empresas de tecnología para acceder a sitios web comunes. En el entorno actual cada vez más sensible a la privacidad, pedir a los usuarios que proporcionen con frecuencia imágenes o vídeos en directo probablemente se considere una recopilación de datos excesiva.

En respuesta a dudas externas, Google declaró que HGV solo se utiliza para reconocer gestos al grabar videos, no recopilará ni procesará contenido de audio y que el video se "eliminará lo antes posible" una vez completada la verificación. La nota oficial también enfatizó que estos videos "no" estarán directamente vinculados a la identidad del usuario. Sin embargo, algunos expertos en seguridad y privacidad creen que este compromiso es difícil de eliminar dudas: por un lado, los usuarios comunes no pueden verificar la política real de retención de datos del sistema back-end; por otro lado, la infraestructura de la nube de las grandes plataformas a menudo tiene mecanismos redundantes de copia de seguridad y recuperación ante desastres, y el ciclo de vida real de los datos puede ser mucho más complicado de lo que muestra la interfaz de usuario.

Esta preocupación no es infundada. En un caso anterior de alto perfil, se recuperó del sistema en la nube un vídeo "borrado" de la cámara Nest de Google y se utilizó para ayudar en la investigación de un incidente de secuestro de alto riesgo. Este caso se considera una prueba de que incluso si el contenido mostrado en la interfaz de usuario se ha eliminado, el sistema de fondo aún puede conservar una copia de los datos correspondientes bajo ciertas condiciones. Por lo tanto, los críticos han cuestionado si los datos de vídeo grabados por vehículos pesados ​​también se conservarán en determinados escenarios o se utilizarán para entrenar varios modelos, incluido Gemini, amplificando así los posibles riesgos para la privacidad.

A medida que el tráfico automatizado y la actividad de bots maliciosos continúan creciendo, la evolución de la tecnología CAPTCHA sigue siendo claramente un problema importante al que se enfrentan las principales plataformas. Sin embargo, a juzgar por los resultados iniciales de los vehículos pesados, la introducción de cámaras y datos biométricos por sí solas no puede garantizar una mayor seguridad. En cambio, puede exponer a los usuarios a mayores riesgos de privacidad de antemano cuando la tecnología aún no esté madura. Si bien los actores de la industria, incluidos Cloudflare y los fabricantes de navegadores, están explorando activamente soluciones "de-captcha" para reducir la fricción del usuario, cómo lograr un equilibrio entre seguridad, prevención de abusos y protección de la privacidad se está convirtiendo en un problema que toda la industria debe enfrentar.