¿Qué es un CAPTCHA en SaaS?

El CAPTCHA SaaS es un servicio de seguridad alojado en la nube que, al presentar a los usuarios tareas sencillas, verifica su naturaleza humana. Estos desafíos son un factor crítico para mantener las plataformas digitales “intactas”, ya que impiden que los bots automatizados realicen acciones masivas como la creación de múltiples cuentas, el envío de spam o la compra fraudulenta.

Características modernas de CAPTCHA:

•   Análisis de Riesgo Adaptativo: Las versiones más nuevas, como Google reCAPTCHA v3, evalúan el nivel de riesgo potencial de un usuario al monitorear sus acciones, lo que podría reducir la dependencia de los desafíos tradicionales.
•   Desafíos Multimodales: Pueden ofrecer varias tareas, como reconocer imágenes ("haga clic en todos los semáforos"), leer caracteres distorsionados o marcar una casilla de verificación ("No soy un robot").
•   Soporte de Accesibilidad: Estas herramientas incluyen funciones visuales y de audio, lo que podría tener implicaciones para usuarios con discapacidades visuales y su cumplimiento con los estándares ADA y WCAG.
•   Integración: La conectividad API de SaaS permite características de seguridad que pueden estar relacionadas con el grado de dependencia de las actualizaciones manuales de software.

Independientemente de la intención, las soluciones CAPTCHA de SaaS varían según los niveles de seguridad y fricción del usuario.

•   CAPTCHA de Texto: El modelo original, que requiere que los participantes reconozcan letras y números revueltos.
•   CAPTCHA basado en imágenes: Selección de objetos objetivo de un grupo de imágenes (“todos los cuadrados con bicicletas”).
•   Desafíos de matemáticas o lógica: Además de aumentar el nivel de dificultad, sirven como una prueba mental, por ejemplo, sumas sencillas o puzles de tipo “arrastrar y soltar”.
•   CAPTCHAs invisibles: Analizan el comportamiento del usuario, como los movimientos del ratón y los estilos de escritura, en segundo plano, solo alertando al usuario de un CAPTCHA cuando se detecta un comportamiento similar al de un robot.

Cuando se implementa un CAPTCHA de SaaS, es equivalente a una “prueba de Turing”: los humanos pueden manejarlo fácilmente, mientras que los bots no podrían a menos que gasten muchos recursos. La introducción de un paso manual en el proceso de compra podría tener un impacto en los métodos de ataque automatizados como el “carding” o el “credential stuffing.”

Ejemplos de uso de CAPTCHAs:

•   Un CAPTCHA puede aparecer después de varios intentos de inicio de sesión fallidos, sirviendo como un posible disuasivo para los ataques de fuerza bruta.
•   Los minoristas implementan estas medidas, con el objetivo de dirigir los artículos de edición limitada hacia clientes auténticos en lugar de a sistemas de compra automatizados.

En lugar de activar CAPTCHA de forma arbitraria, los sistemas de seguridad del comercio están diseñados para reaccionar a ciertas “señales” de comportamiento que indican que un área que se está navegando es por una entidad no humana.

Causas Habituales:

•   Velocidad Patrones: Los envíos de formularios completados a una velocidad que excede las capacidades humanas típicas pueden indicar actividad inusual.
•   IP: El tráfico de centros de datos o VPNs se asocia con frecuencia con la necesidad de desafíos de autenticación.
•   El patrón de acceso a la pasarela de pago sin visitas previas a páginas de productos se observa a veces en sistemas automatizados.
•   Encabezados del navegador: Una diferencia notable entre el navegador declarado del usuario y su huella técnica real podría ser una posible explicación.

Las soluciones CAPTCHA para SaaS a menudo se asocian con un nivel de seguridad específico y una inversión en infraestructura. Del proveedor sistema gestionado en la nube actualiza algoritmos, lo que puede influir en la cantidad de mantenimiento manual que necesita el comerciante.

La accesibilidad del usuario es un aspecto a considerar. En escenarios donde las tasas de conversión son altas, el tiempo dedicado a un desafío y abandono del carrito de compras puede estar relacionado. A pesar de la prevalencia de los métodos CAPTCHA, su accesibilidad para usuarios con discapacidades es esencial. Además, el soporte de algunos bots avanzados para solucionadores humanos puede influir en su éxito al combatir atacantes persistentes.

Para​‍​‌‍​‍‌​‍​‌‍​‍‌ los comerciantes que se preocupan por la “fatiga de desafíos” que conduce a la pérdida de clientes, aquí hay algunas alternativas que podrían funcionar para ellos.

•   La Biometría Conductual observa el comportamiento del usuario en el movimiento del ratón, el ritmo de escritura y el manejo del teléfono, y realiza la verificación del usuario sin interrupción significativa.
•   La huella digital de dispositivo crea un identificador a partir de los atributos de hardware de un usuario, lo que permite potencialmente que los dispositivos reconocidos eviten algunos controles de seguridad.