GrapheneOS alerta de la limitación que introduce el nuevo reCAPTCHA de Google con la verificación móvil

Los creadores de GrapheneOS han alertado sobre un cambio que Google ha introducido en reCAPTCHA, la prueba con la que comprueba de que sus usuarios son personas reales y no robots, que entienden que es un comportamiento anticompetitivo al requerir un dispositivo Apple o certificado para Android para acceder a algunos servicios web.

ReCAPTCHA aparece en ocasiones al intentar entrar en una web servicio digital y normalmente solicita al usuario que realice una acción para demostrar que es una persona, ya sea pinchar en un recuadro, escribir un conjunto de letras y números aleatorios o identificar las imágenes que contienen un elemento concreto.

Google ha introducido un cambio en ReCAPTCHA que requiere la verificación móvil a través del escaneo de un código QR o de clicar en una aplicación dedicada. Y para completarla, exige un dispositivo iOS o iPadOS o que esté certificado para Android.

Esto es lo que se conoce como atestación de 'hardware', es decir, un proceso que verifica la integridad y autenticidad de un dispositivo y su 'software' a través de los componentes seguros que integra, para comprobar que no han sido manipulados.

Con los cambios en el ReCAPTCHA, desde GrapheneOS indican de que Google está llevando la atestación de 'hardware' a la web, de tal forma que los usuarios utilicen que Windows, Linux, OpenBSD u otros sistemas alternativos necesitarán un dispositivo certificado para Android o de Apple para escanear el QR que solicitará la comprobación de 'antibots'.

Y en este contexto, avisan de que el cambio es en realidad un comportamiento anticompetitivo que dejará fuera de la verificación a los usuarios que tengan un dispositivo distinto de los requeridos, limitando con ello el acceso a una parte de internet.

Desde GrapheneOS señalan que la verificación móvil de reCAPTCHA funcionará con Google Play en sandbox en su sistema operativo. Pero para desplegar la atestación 'de hardware', Apple utiliza la aplicación Attest y Google, Play Integrity API. Y GrapheneOS está prohibida en Play Integrity API, según entienden, porque no licencian Google Mobile Services y se ajustan a reglas anticompetitivas, como explican en un comunicado compartido en X.

"La excusa de seguridad de Google es claramente falsa cuando permiten dispositivos sin parches por 10 años pero no un SO mucho más seguro. Es para hacer cumplir sus monopolios a través de la licencia de GMS, eso es todo", apostillan.