UN CAPTCHA RESPETUOSO CON LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS ES POSIBLE Y, ADEMÁS, YA LO TENEMOS

Posted on by Leocadio Marrero Trujillo

¿Usas un Captcha en tu sitio web? Si así es, ¿estás protegiendo los datos personales y la privacidad de tus usuarios? ¿Usas el ReCaptCha de Google? ¿Eres conocedor de los riesgos del uso del ReCaptCha de Google en tu sitio web, desde el punto de vista del cumplimiento del RGPD?.

¿Qué es un Captcha y cuál es su función?

Lo primero que debemos saber es cuál es la función principal de un CaptCha en un sitio web y por qué es imperioso contar con una solución de este tipo.

CAPTCHA es el acrónimo de “Completely Automated Public Turing test to tell Computers and Humans Apart”. Traducido al castellano, “Prueba de Turing pública y automática para diferenciar máquinas y humanos”.

El objetivo de un captcha es distinguir a un ordenador de un ser humano, y de este modo, impedir que los robots (también llamados bots) realicen un uso indebido de un servicio, como por ejemplo enviar comentarios automáticos con spam a un foro o un blog. Protege del spam y del descifrado de contraseñas mediante una prueba que demuestre que quien responde es un humano y no un ordenador.

Evitan que los bots o cualquier tecnología usada, como la IA pueda ser usada para interactuar con el sitio web, asegurando que las acciones que se realicen tengan la certeza de que sean realizadas por personas 100 % humana.

Por tipología, podríamos citar, al menos, a diez tipologías de captcha:

Los captcha y la accesibilidad

En palabras de Sergio Luján Mora[1], profesor de la Universidad de Alicante:

“Desgraciadamente, cada vez más los captcha son más difíciles, se aplican más variaciones, más distorsiones y se introduce más ruido para dificultar la resolución por parte de los ordenadores, pero a su vez también son más difíciles para las personas.

Pero además, este tipo de captcha que se emplea normalmente, una imagen con texto distorsionado, no puede ser utilizado por algunos grupos de usuarios.

En concreto, los captcha bloquean el acceso a muchos usuarios que padecen algún tipo de discapacidad. Las personas con visión reducida, como pueden ser los daltónicos que tienen dificultades para distinguir algunas combinaciones de colores o las personas que usan magnificadores de pantalla para ampliar el tamaño de lo que se visualiza en una pantalla pueden tener graves problemas para distinguir el texto que se muestra en un captcha.

Por otro lado, es evidente que las personas ciegas que utilizan un lector de pantalla no pueden contestar los captcha basados en imágenes con texto en su interior, ya que estas imágenes no pueden incluir en el atributo “alt” de la etiqueta <img> el texto que aparece escrito en los captcha, ya que entonces un ordenador también lo podría leer y podría pasar la prueba.

Además, las personas con algún tipo de discapacidad cognitiva o intelectual como la dislexia, también pueden tener problemas a la hora de interpretar el texto que contiene un captcha.

El problema de los captcha aparece como uno de los principales problemas de accesibilidad de las páginas web en la actualidad.”

¿Aplica el RGPD al uso de los captcha?

Cualquier servicio que sea capaz de identificar a las personas o inferir la identidad personal y rastrear sus actividades se rige potencialmente por el reglamento GDPR (técnicamente solo en la UE o para ciudadanos de la UE).

Los servicios gratuitos de captcha que monetizan a través de la publicidad, por naturaleza, requieren el seguimiento y el aprovechamiento de las actividades de los usuarios en línea, a menudo sin consentimiento explícito e informado, lo que los hace legalmente problemáticos.

Otros servicios de captcha que aprovechan el conocimiento preexistente de la identidad del usuario para inferir entre humanos y bots, como Google reCaptcha, que aprovecha la información de las cuentas de Google, también están sujetos al RGPD y pueden requerir una carga de cumplimiento adicional, incluidos acuerdos de procesamiento de datos explícitos.

El hecho de que un servicio de captcha reconozca por naturaleza el sitio web alojado y la URL (actividad), así como las direcciones IP del usuario final (identidad) implica preocupaciones de seguimiento y privacidad, incluido el RGPD.

El  ReCaptCha de Google y el cumplimiento del RGPD: transparencia y licitud

Lo cierto es que todos los titulares de sitio web, al definir la finalidad y los medios, se constituyen en responsables de los tratamientos de datos personales que se realizan en los mismos.

Por un lado, como responsables de tratamiento, debemos determinar en ese contexto, alcance, naturaleza y finalidad de la actividad los riesgos de probabilidad y gravedad a derechos y libertades, tal como establece el art. 32 del RGPD, y una vez determinado el riesgo inherente, proceder a implementar la medidas técnicas y organizativas adecuadas al riesgo y, además, debemos estar en condición de demostrar que las mismas medidas son las apropiadas. Por tanto, en ese contexto, una medida mitigante del riesgo en un sitio web es, sin duda, desde el plano técnico, el uso de un captcha.

La versión 3.0 de esta herramienta de Google se instala de forma transparente al usuario y no exige la interacción del mismo para garantizar la seguridad. Ahora bien, ese punto de transparencia operativo se convierte en opacidad desde el punto de vista  de la privacidad y la protección de datos personales. ¿Por qué? Porque Google analiza el comportamiento del usuario de forma oculta, no informa al usuario del alcance de ese tratamiento de su privacidad y, además, transmite o transfiere a sus sistemas, al menos:

  1. Dirección de ReCIP
  2. URL de referencia
  3. Sistema operativo
  4. Galletas
  5. Movimientos del ratón/pulsaciones del teclado
  6. Duración de las pausas entre acciones
  7. Configuración del dispositivo (por ejemplo, idioma o ubicación)

Como botón de muestra, quiero traer a la memoria algunos procedimientos incoados contra distintos propietarios y responsables de tratamiento de sitios web.

1.- La decisión de la CNIL del 16 de marzo (en francés) contra la empresa de patinetes eléctricos llamada Cityscoot[3].

La empresa recibió una multa de 125.000 euros, pero esto no se debió solo al uso de reCAPTCHA por parte de Cityscoot. La investigación de la CNIL se centró principalmente en la forma en que Cityscoot rastreaba la ubicación de sus scooters y la información contenida en los contratos de Cityscoot.

CITYSCOOT utilizó un mecanismo reCAPTCHA, proporcionado por GOOGLE, al crear App móvil así como durante el procedimiento de inicio de sesión y contraseña olvidada en el sitio web. Este mecanismo funciona con una recopilación de información de hardware y software (como datos de dispositivos y aplicaciones).

Si bien los datos recopilados se transmiten a GOOGLE para su análisis, la empresa no proporcionó ninguna información al usuario y no obtuvo su consentimiento previo, ni para acceder a la información almacenada en su equipo ni para escribir información sobre ella.

La empresa indicó en el curso del procedimiento que dejaría de utilizar este mecanismo.

2.- Un segundo caso de uso es el de NS CARDS FRANCE[4] que publica el sitio web neosurf.com y la Aplicación móvil “Neosurf” le permite realizar pagos en línea después de registrarse en el servicio.

Entre las tres infracciones impuestos en el procedimiento que sumaron 105.000€ de sanción, una fue por el uso de recaptcha.

La empresa utilizó un mecanismo reCAPTCHA, proporcionado por GOOGLE, al crear la cuenta e iniciar sesión en el sitio web y la aplicación móvil. Este mecanismo funciona con una recopilación de información de hardware y software (como datos de dispositivos y aplicaciones). Si bien los datos recopilados se transmitieron a GOOGLE para su análisis, la empresa no proporcionó ninguna información al usuario y no obtuvo su consentimiento previo, ni para acceder a la información almacenada en su equipo ni para escribir información sobre el mismo.

La falta de consentimiento para el depósito de cookies de Google Analytics afectó a cada visitante del sitio web, es decir, a varios cientos de miles de personas. Del mismo modo, la falta de consentimiento para el uso del reCAPTCHA afectó potencialmente a cada uno de los 700.000 titulares de cuentas en el momento de las comprobaciones.

Como se ve claramente en ambos cosos de uso compartidos, el de Cityscoot y el NS CARDS FRANCE, se consideró que había tratamiento de datos personales y que, además, no se informó del mismo ni su obtuvo el consentimiento.

¿Se podría el salvar cumplimiento con estos dos requerimientos?

A primera vista podría ser un SÍ la respuesta. Pero, aclarando más el problema y analizando más a fondo el caso, un responsable del tratamiento no puede estar al 100% seguro que la información que proporciona al usuario del sitio web coincida con el 100% de los posibles tratamientos que Google efectúe detrás. Por tanto, la opacidad del proveedor, lleva al responsable a un incumplimiento del principio de transparencia y a ocultar información al usuario que no tendría todos los elementos delante para tomar una decisión libre, informada, específica e inequívoca, tal como exige el art. 7 del RGPD.

Entonces, ¿qué solución nos queda a quiénes estando bajo el ámbito de aplicación material del RGPD tenemos un sitio web?

Podemos recurrir a proveedores europeos que han diseñado captchas respetuosos con la privacidad. Muchos de estos cuentan con soluciones gratuitas y de pago para poder cumplir con los requisitos de seguridad y no recogen datos ni rastrean el comportamiento.

Por otro lado, la Unión Europea impulsó hace algún tiempo la iniciativa UE CAPTCHA[5], probablemente muy poco conocida, tanto en los entornos de seguridad, de diseñadores web y de especialistas en cumplimiento en privacidad y protección de datos.

EU CAPTCHA consiste básicamente en tres tipos de captchas listos para utilizar en cualquier proyecto. El principal objetivo es distinguir a las personas de los bots en diversos procesos: registros de usuarios, envío de formularios o de mensajes en algún tipo de foro.

EU CAPTCHA incorpora los resultados de la Acción ISA² 2018.08 EU-Captcha. El objetivo de esta acción es ofrecer a los Estados miembros un CAPTCHA solución mantenida, segura, fácil de usar y multilingüe. Se entregará como un componente que puede ser operado como un servicio. Junto a este servicio gestionado, también hay disponible un proyecto de código abierto, que puede desplegar usted mismo.

EU CAPTCHA se puede instalar de dos maneras[2]:

·        integrándose con el servicio gestionado;

·        mediante la implementación del código (. WAR) en su archivo servidor/entorno.

Objetivos del CAPTCHA de la UE

Las características de un buen CAPTCHA son:

· Seguridad: el número de usuarios no humanos capaces de resolver el rompecabezas. y, por lo tanto, debe minimizarse la identificación errónea como ser humano, lo que implica que el rompecabezas debe ser muy complejo de automatizar;

· Facilidad de uso: el número de usuarios humanos que no pueden resolver el problema rompecabezas y, por lo tanto, erróneamente identificados como no humanos, deben ser minimizado, lo que implica que el rompecabezas debe ser muy fácil de resolver en un corto período de tiempo por cualquier ser humano.

Existen varias soluciones CAPTCHA en el mercado, ya sea proporcionadas como componentes o como servicios. Desafortunadamente, todos tienen uno o más de los siguientes deficiencias:

  1. Proporcionan un nivel de seguridad insuficiente con un alto nivel de seguridad tasa de falsos positivos;
  2. Proporcionan un nivel insuficiente de facilidad de uso con una alta tasa de falsos negativos;
  3. No se mantienen o no se mantienen lo suficiente;
  4. No apoyan la internacionalización ni el multilingüismo y, en particular, no apoyan a todos los lenguas de la Unión Europea;
  5. No apoyan a los usuarios con discapacidades;
  6. No tienen un modelo de licencia que sea compatible con EUPL y, en particular, no pueden distribuirse como parte de de los sistemas prestados por las administraciones públicas;
  7. Plantean preocupaciones éticas porque recopilan datos o proporcionar acertijos cuya resolución cree valor.

El objetivo de la acción es proporcionar un servicio CAPTCHA que:

  1. Esté disponible como componente y operable como servicio;
  2. Sea seguro;
  3. Sea fácil de usar;
  4. Sea multilingüe con soporte para todos los idiomas oficiales de la Unión Europea;
  5. Sea accesible para usuarios con discapacidad;
  6. Cumpla con las normas de protección de datos y las mejores prácticas;
  7. Se mantenga con soporte continuo para versiones posteriores de la máquina virtual Java.

Por tanto, estamos ante una buena, fácil y gratuita solución de seguridad que es respetuosa con la privacidad y la protección de datos personales, nuestros derechos fundamentales consagrados en la Carta de Derechos Fundamentales de la Unión Europea en sus artículos 7 y 8 respectivamente.

#privacidad #proteccióndedatos #rgpd #gdpr #cumplimiento #captcha #recaptcha #europa #unióneuropea #accesibilidad #seguridad #ciberseguridad #bots #humano #derechosfunam

[1] https://api.eucaptcha.eu/

[2] https://code.europa.eu/eu-captcha/EU-CAPTCHA

[3] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047346903?isSuggest=true

[4] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048907667

[5] https://accesibilidadweb.dlsi.ua.es/?menu=que-es-un-captcha-problemas-accesibilidad

Leocadio Marrero Trujillo

WordPress Double Opt-in by Forge12