Hoy me encontré con una noticia que me hizo suspirar de alivio. Mozilla, Cloudflare, Chrome, Edge y Shopify están trabajando en algo llamado PACT (Private Access Control Tokens). La idea es simple y al mismo tiempo revolucionaria: demostrar que eres humano sin entregar tu alma digital en el proceso.
El problema que todos conocemos
Si eres de los que usan VPN, navegadores con bloqueo de rastreo o simplemente no te gusta que cada sitio te pida login con Google, probablemente te has topado con esto: CAPTCHAs infinitos, bloqueos por sospecha de bot, o peor aún, páginas que directamente te echan.
Yo mismo he pasado por eso. Estás en plena pega, necesitas entrar a un sitio para revisar documentación técnica, y de repente el sitio te trata como sospechoso porque usas Firefox con uBlock Origin y una VPN. La wea es frustrante. Y lo peor: estas medidas no detienen a los bots de verdad. Los actores maliciosos ya tienen sistemas que resuelven CAPTCHAs mejor que muchos humanos.
¿Qué propone PACT?
En vez de rastrearte con huellas digitales del navegador, direcciones IP o cookies de terceros, PACT funciona con tokens anónimos. Piénsalo asÃ: cuando tienes una relación de confianza con un servicio (por ejemplo, tu proveedor de VPN o tu banco), ese servicio puede emitir un token que dice «este usuario es legÃtimo» sin revelar quién eres ni qué haces.
El sitio al que entras solo ve el token. No sabe quién lo emitió. No sabe tu historial. No puede rastrearte entre páginas. Es como mostrar un sello de confianza sin mostrar tu identidad.
Por qué esto me importa como ingeniero
En mi trabajo veo constantemente la tensión entre seguridad y privacidad. Muchas empresas eligen la solución fácil: rastrear a todos por si acaso. Pero eso es pereza técnica. Lo que propone Mozilla y Cloudflare es ingenierÃa de verdad. Usan credenciales anónimas basadas en criptografÃa, no en confianza ciega a los grandes proveedores.
Además, Mozilla dejó claro que rechazan enfoques como el Web Environment Integrity de Google, que básicamente le entrega el control de quién puede acceder a la web a los fabricantes de hardware y sistemas operativos. Eso es lo opuesto a una web abierta. Prefiero mil veces un sistema donde cualquier sitio puede emitir y verificar tokens, sin gatekeepers corporativos.
Lo que falta
No todo es color de rosas. Para que esto funcione, necesitamos que los navegadores lo implementen de forma interoperable, que los sitios lo adopten, y que los emisores de tokens sean diversos. Si solo Cloudflare y dos bancos gigantes pueden emitir tokens, terminamos con otro sistema de control centralizado.
Pero el diseño es correcto. Es abierto. Es privado por defecto. Y si funciona, podrÃamos dejar atrás la era de los CAPTCHAs, los bloqueos por VPN y los login forzados.
¿Y tú? ¿Cuántas veces al dÃa te interroga la web como si fueras culpable hasta demostrar lo contrario? A mà me pasa seguido. Ojalá PACT sea el principio del fin de esa wea.
Fuente de inspiración: Keeping the Web Open and Private in the Bot Era
