Cloudflare Turnstile: una nueva alternativa a CAPTCHA.

En pocas palabras  

El 28 de septiembre de 2022, el proveedor de CDN CloudFlare presentó una alternativa a CAPTCHA fácil de usar, llamada Turnstile. Los usuarios ya no tienen que demostrar que no son robots e introducir cualquier carácter o seleccionar imágenes. En su lugar, Turnstile ejecuta un conjunto específico de llamadas, utilizando JavaScript, a la API del proyecto en el navegador. Puedes probar Turnstile ahora y añadirlo a tu sitio web de forma gratuita. 

CAPTCHA 

Casi todos los usuarios de Internet se han visto o se ven obligados cada día a introducir CAPTCHAs en los sitios web para poder utilizarlos. En los formularios de registro o de envío de datos se pide al usuario que escriba una palabra, realice operaciones aritméticas sencillas o marque todas las imágenes que muestran, por ejemplo, un semáforo. 

CAPTCHA apareció a principios de la década de 2000 como una forma de filtrar los registros en los sitios gestionados por programas automatizados y bots de spam. La propia palabra CAPTCHA significa Completely Automated Public Turing test to tell Computers and Humans Apart (prueba de Turing completamente automática y pública para diferenciar ordenadores de humanos). Es decir, un CAPTCHA es cualquier programa cuyo trabajo es distinguir si una persona está frente a él o no. 

Los primeros CAPTCHAs mostraban al usuario un texto muy distorsionado que no podía ser reconocido por los algoritmos del software. Sólo fue posible seguir utilizando el sitio después de introducir correctamente este texto en el campo correspondiente. La solución resultó ser tan exitosa que comenzó a usarse activamente en todo el mundo. 

Sin embargo, se hizo evidente que, a medida que se extendía el uso de CAPTCHA, cada vez más personas de todo el mundo perdían su tiempo demostrando a los robots, es decir, a los sitios web y otros programas, que no eran robots. Así nació la idea de la aplicación reCAPTCHA. Todavía requería que el usuario introdujera un texto determinado, pero ahora ya no era un texto aleatorio, sino un texto real de documentos de archivo que había que «descifrar». 

Más tarde, reCAPTCHA fue comprado por Google, y aparecieron experimentos con el reconocimiento de imágenes de Google Maps/Google Street View. Pero en algún momento, la empresa se encontró con el problema de que incluso las imágenes más complejas podían ser pirateadas, es decir, reconocidas automáticamente. Y si no lo eran, había suficientes servicios en la web que ofrecían servicios baratos de reconocimiento manual. 

Así que en 2015, Google presentó su nueva solución, que analizaba el comportamiento del usuario en el sitio web hasta que hacía clic en «No soy un robot» y entonces concluía si era un humano o un bot. Si el análisis no proporcionaba una respuesta clara, se ofrecía al usuario una verificación adicional, por ejemplo, marcando todas las imágenes de pasos de cebra. 

ReCAPTCHA se ha convertido sin duda en una de las soluciones más populares del mercado, pero no es la única. A medida que la tecnología ha ido evolucionando, han surgido nuevas empresas y soluciones, y Turnstile es una de ellas. 

Turnstile 

Turnstile es una alternativa inteligente a CAPTCHA. Elige automáticamente entre un conjunto rotativo de desafíos no intrusivos para el navegador, basándose en la telemetría y en el comportamiento del cliente durante la sesión. Lo más importante es que, a diferencia de la solución de Google: 

• no obliga a hacer clic en ningún botón
• no recoge ningún dato del usuario 
• no analiza las cookies
• no envía nada a sus servidores para su posterior análisis

Turnstile facilita al máximo la interacción del usuario con los sitios para confirmar que no es un robot, al tiempo que cuida su privacidad. 

También vale la pena mencionar que Turnstile no es una única alternativa de CAPTCHA, sino toda una plataforma con diferentes pruebas que se adaptan individualmente al usuario/navegador en base a pequeños desafíos JavaScript no interactivos. Esos desafíos incluyen proof-of-work, proof-of-space, sondeo de API web y varios otros desafíos para detectar peculiaridades del navegador y comportamiento humano. En última instancia, estas pruebas pueden cambiarse, mejorarse o introducirse otras nuevas, dependiendo del éxito de su uso. 

Para probar la nueva solución de CloudFlare es necesario registrarse gratuitamente, seleccionar el menú Turnstile y obtener una clave de sitio y una clave secreta para su sitio, y luego reemplazar el antiguo código CAPTCHA por el nuevo: 

<script src=»https://challenges.cloudflare.com/turnstile/v0/api.js» async defer></script> 

Se puede encontrar más información en la documentación oficial. 

Crear una Internet mejor es una de las misiones de CloudFlare, donde Turnstile no es su primera herramienta gratuita, así que si quieres hacer más felices a tus usuarios y minimizar los datos que envían a terceros, entonces por supuesto que mira esta solución. 

Alternativas

De hecho, hay bastantes servicios CAPTCHA en el mercado. Una de las más interesantes y que está ganando popularidad es hCaptcha. 

Este servicio, al igual que Turnstile, también cuida la privacidad del usuario al no entregar sus datos a terceros, pero también está ligado a la selección de imágenes que coincidan con la descripción si se utiliza el plan gratuito, aunque la selección de imágenes es más fresca y variada. Buscar perros sonrientes, tortugas y peces es mucho más divertido que marcar imágenes de semáforos, barcos y bocas de incendio.   

A principios del verano también apareció una nueva solución SmartCaptcha de Yandex. Los desarrolladores explicaron que la mayoría de los usuarios sólo tendrían que hacer clic en «No soy un robot» para ser verificados. Si el sistema sospecha que se trata de un robot, le pedirá que introduzca una combinación de palabras, que genera él mismo, sin utilizar imágenes ni texto reales. 

Los primeros 250.000 accesos a la API al mes son gratuitos, y a partir de ahí cada solicitud se cobra por separado. 

Así, el mercado de CAPTCHAs está en constante evolución, ofreciendo cada vez más herramientas que, por un lado, pueden reconocer con bastante precisión al usuario o al robot que tenemos delante, sin obligarnos a teclear ningún texto ni a seleccionar imágenes, pero, por otro lado, se centran cada vez más en la privacidad, no enviando los datos del usuario a terceros. Si está utilizando la solución reCAPTCHA de Google, ahora sería un buen momento ver sus alternativas.