Se acabaron las imágenes de hidrantes: Google, Microsoft y Mozilla dividirán la web entre "los suyos" y "los demás"
Una iniciativa conjunta con Cloudflare desarrolla un mecanismo discreto que decidirá por sí solo a quién dar acceso
En los últimos años a los sitios les resulta cada vez más difícil saber quién ha llegado a la página: si una persona, un bot útil o un rastreador más. Por eso Cloudflare, junto con Google, Microsoft y Mozilla, ha decidido integrar esa verificación directamente a nivel del navegador.
Las empresas acordaron desarrollar el protocolo Private Access Control Tokens, o PACT. Con su ayuda, un sitio podrá emitir al navegador o a un bot de confianza un token digital anónimo que confirme que la sesión parece aceptable. Otros sitios podrán aceptar ese token y exigir con menos frecuencia CAPTCHA, comprobaciones de identidad u otras barreras molestas.
Según Cloudflare, PACT funciona como un resultado portátil de una comprobación, pero evalúa no tanto a la persona frente a la pantalla como la aceptabilidad del tráfico. Este enfoque es necesario debido al aumento de las solicitudes automatizadas, incluido el tráfico de agentes de IA que pueden actuar en nombre del usuario y con un propósito autorizado.
Las reglas técnicas aún se están acordando, y la principal incertidumbre sigue siendo quién tendrá exactamente la facultad de emitir esos tokens. El proyecto menciona sitios con una fuerte capacidad para determinar el "origen humano" de la sesión, pero el límite entre un usuario normal, un agente de confianza y un bot no deseado aún no está completamente definido.
Cloudflare presenta PACT como un reemplazo más privado de las comprobaciones intrusivas. Los tokens no deben contener datos personales; sin embargo, la tecnología no resuelve otros problemas de seguimiento en el navegador ni la huella digital. Con una implementación deficiente, el nuevo mecanismo podría convertirse en otro filtro de acceso que divida el tráfico web en deseado y no deseado.
Para los propietarios de sitios, PACT se presenta como una herramienta contra el fraude, la sobrecarga y los rastreadores maliciosos. Para la web abierta el riesgo es más complejo: si el acceso a los recursos comienza a depender de un token de confianza reconocido, los desarrolladores de servicios y bots tendrán que negociar con las plataformas el derecho a ser considerados participantes aceptables de la red.
Las empresas aún no anuncian plazos de implementación. Según el estado actual del proyecto, PACT todavía debe pasar por la aprobación de la especificación, experimentos en navegadores y una evaluación de riesgos para la privacidad; por eso, incluso en el mejor de los casos, las primeras implementaciones de prueba en Chrome, Edge y Firefox no se esperan antes de 2027. La activación masiva para los usuarios habituales probablemente requerirá aún más tiempo.