Suscríbete para recibir notificaciones de nuevas publicaciones:

Novedad: Turnstile, una alternativa a CAPTCHA, fácil de usar y que protege la privacidad

2022-09-28

4 min de lectura
Esta publicación también está disponible en English, Français, Deutsch, 日本語, Português y 简体中文.

Hoy anunciamos la versión beta abierta de Turnstile, una alternativa invisible a CAPTCHA. Cualquier persona en cualquier lugar de Internet que desee reemplazar CAPTCHA en su sitio podrá invocar una API sencilla, sin tener que ser un cliente de Cloudflare ni enviar tráfico a través de la red global de Cloudflare. Regístrate gratis aquí.

No tiene sentido repetir que CAPTCHA ofrece una pésima experiencia de usuario. Lo hemos comentado detalladamente antes en este blog, e infinidad de veces en otras ocasiones. Incluso el creador del CAPTCHA ha lamentado públicamente que "creó, sin saberlo un sistema que desperdiciaba, en incrementos de 10 segundos, millones de horas del recurso más valioso: los ciclos de la inteligencia humana". Lo odiamos, lo odias, todos lo odian. Hoy, ofrecemos a todo el mundo una opción mejor.

Turnstile es nuestra alternativa inteligente a CAPTCHA. Selecciona automáticamente de un conjunto rotativo de desafíos no intrusivos del navegador basados en la telemetría y el comportamiento que el cliente ha mostrado durante una sesión. En una publicación anterior, hablamos sobre cómo hemos utilizado nuestro sistema de Desafío administrado para reducir en un 91 % nuestro uso de CAPTCHA. Ahora, cualquier persona puede aprovechar esta misma tecnología para dejar de utilizar CAPTCHA en su propio sitio.

La experiencia del usuario no es el único problema importante de CAPTCHA. También lo es la privacidad.

Aunque tener que resolver un CAPTCHA es una experiencia de usuario frustrante, cuando un sitio web usa CAPTCHA también hay una posible desventaja oculta que este debe aceptar. Si hoy tienes un sitio pequeño que utiliza CAPTCHA, básicamente tienes una única opción: un gigante con el 98 % de la cuota de mercado de CAPTCHA. El uso de esta herramienta es gratuito pero en realidad tiene un coste para la privacidad: tienes que proporcionar tus datos a una empresa de venta de publicidad.

Según los investigadores de seguridad, una de las señales que utiliza Google para decidir si eres malicioso es comprobar si tienes una cookie de Google en tu navegador. Si la tienes, Google te dará una puntuación más alta. Google niega que utilicen esta información para fines publicitarios pero, en última instancia, Google es una empresa de venta de publicidad. En cambio, en Cloudflare, obtenemos ingresos cuando nuestros clientes nos eligen para proteger sus sitios web y mejorar la ejecución de sus servicios. Es una relación sencilla y directa que encaja perfectamente con nuestros incentivos.

Menos recopilación de datos, más privacidad, misma seguridad

En junio, anunciamos una iniciativa con Apple para utilizar tokens de autenticación privados. Los visitantes que utilicen sistemas operativos que admitan estos tokens, incluidas las próximas versiones de macOS o iOS, ahora pueden demostrar que son personas sin completar un CAPTCHA o ceder sus datos personales.

Al asociarnos con terceros, como los fabricantes de dispositivos, que ya tienen los datos que nos ayudarían a validar un dispositivo, podemos aislar partes del proceso de validación y confirmar los datos sin que nosotros tengamos que recopilarlos, tocarlos o almacenarlos. En lugar de interrogar directamente a un dispositivo, pedimos al proveedor del mismo que lo haga por nosotros.

Los tokens de acceso privados están integrados directamente en Turnstile. Aunque Turnstile debe comprobar algunos datos de la sesión (como los encabezados, el agente de usuario y las características del navegador) para validar a los usuarios sin mostrarles el desafío, los tokens de acceso privados nos permiten minimizar la recopilación de datos solicitando a Apple que valide el dispositivo por nosotros. Además, Turnstile nunca busca si hay cookies (por ejemplo, una cookie de inicio de sesión) ni utiliza cookies para recopilar o almacenar información de ninguna clase. Cloudflare tiene una larga trayectoria de inversión en la privacidad del usuario, y así lo seguiremos haciendo con Turnstile.

Nuestro reemplazo de CAPTCHA está disponible para todo el mundo

Para mejorar Internet para todos, hemos decidido facilitar la tecnología en la que se basa nuestro Desafío administrado a todo el mundo, y lo hacemos en la versión beta de un producto independiente denominado Turnstile.

En lugar de intentar eliminar y reemplazar unilateralmente CAPTCHA con una única alternativa, hemos desarrollado una plataforma para probar muchas alternativas y aplicar de forma rotativa los nuevos desafíos según sean más o menos efectivos. Con Turnstile, adaptamos el propio resultado del desafío a cada visitante/navegador individual. Primero, ejecutamos una serie de pequeños desafíos JavaScript no interactivos que recopilan más señales sobre el entorno del visitante/navegador. Estos incluyen prueba de trabajo, prueba de espacio, exploración de las API web y otros desafíos para detectar las singularidades del navegador y un comportamiento humano. Como resultado, ajustamos la dificultad del desafío a la solicitud específica.

Turnstile incluye también modelos de aprendizaje automático que detectan características comunes de los visitantes finales que han podido superar el desafío anteriormente. La dificultad computacional de estos desafíos iniciales puede variar según el visitante, pero está pensada para una ejecución rápida.

Reemplaza tu CAPTCHA existente en unos minutos

Puedes aprovechar Turnstile y dejar de molestar a tus visitantes con un CAPTCHA, incluso sin estar en la red de Cloudflare. Aunque queremos que la utilización de nuestra red sea lo más fácil posible, no queremos que esto sea un obstáculo para mejorar la privacidad y la experiencia del usuario.

Para reemplazar un servicio CAPTCHA, lo único que debes hacer es lo siguiente:

  1. Crea una cuenta de Cloudflare, ve a la pestaña "Turnstile" de la barra de navegación y obtén una clave de sitio y una clave secreta.

  2. Copia nuestro JavaScript del panel de control y pégalo en tu JavaScript CAPTCHA anterior.

  3. Actualiza la integración del lado del servidor reemplazando la URL de siteverify anterior por la nuestra.

A continuación encontrarás más información sobre el proceso, incluidas las opciones que puedes configurar. Pero realmente eso es todo. Nos entusiasma la simplicidad de hacer un cambio.

Opciones de implementación y análisis

Para utilizar Turnstile, primero crea una cuenta y obtén tu clave de sitio y tu clave secreta.

A continuación, copia y pega nuestro fragmento de código HTML:

<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

Una vez que el script está integrado, puedes utilizar la representación implícita. Aquí se explora el HTML en busca de elementos que tengan una clase cf-turnstile:

Una vez que se ha resuelto un desafío, se inyecta un token en tu formulario, denominado cf-turnstile-response. Este token se puede utilizar con nuestro punto final siteverify para validar la respuesta a un desafío. Un token solo se puede validar una vez, y no se puede canjear dos veces. La validación se puede realizar en el lado del servidor o incluso en la nube, por ejemplo, utilizando una única recuperación de Workers (ve una demostración aquí):

<form action="/login" method="POST">
  <div class="cf-turnstile" data-sitekey="yourSiteKey"></div>
  <input type="submit">
</form>

Para casos de uso más complejos, el desafío se puede invocar explícitamente mediante JavaScript:

async function handleRequest() {
    // ... Receive token
    let formData = new FormData();
    formData.append('secret', turnstileISecretKey);
    formData.append('response', receivedToken);
 
    await fetch('https://challenges.cloudflare.com/turnstile/v0/siteverify',
        {
            body: formData,
            method: 'POST'
        });
    // ...
}

También puedes crear lo que llamamos "Acciones", etiquetas personalizadas que te permiten distinguir entre distintas páginas donde utilizas Turnstile, por ejemplo, una página de inicio de sesión, de compra o de creación de cuenta.

<script>
    window.turnstileCallbackFunction = function () {
        const turnstileOptions = {
            sitekey: 'yourSitekey',
            callback: function(token) {
                console.log(`Challenge Success: ${token}`);
            }
        };
        turnstile.render('#container', turnstileOptions);
    };
</script>
<div id="container"></div>

Una vez que has implementado Turnstile, puedes volver al panel de control y ver un análisis de dónde tienes implementados widgets y cómo los resuelven los usuarios, así como todas las acciones definidas.

¿Por qué lo ofrecemos gratis?

Aunque a veces a las personas externas les cuesta creerlo, ayudar a mejorar Internet verdaderamente es nuestra misión. No es la primera vez que desarrollamos herramientas gratuitas que creemos que mejorarán Internet, y no será la última. Es muy importante para nosotros.

Por lo tanto, seas o no hoy un cliente de Cloudflare, si utilizas CAPTCHA prueba gratis Turnstile. Harás más felices a tus usuarios, y minimizarás los datos que envías a terceros.

Visita esta página para registrarte para obtener el reemplazo invisible de CAPTCHA que prioriza la privacidad y recuperar tu clave de sitio de la versión beta de Turnstile.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Birthday Week (ES)Noticias de productosTurnstileCAPTCHASeguridadBots (ES)PrivacyFree

Síguenos en X

Reid Tatoris|@reidtatoris
Benedikt Wolters|@worengawins
Maxime Guerreiro|@punkeel
Miguel de Moura|@miguel_demoura
Cloudflare|@cloudflare

Publicaciones relacionadas

02 de octubre de 2024, 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....