El creador de pretix advierte que la protección contra bots mediante CAPTCHAs ha perdido eficacia. En su lugar, las soluciones actuales exigen elegir entre privacidad, accesibilidad y seguridad.
En un mundo donde los conciertos se agotan en segundos y los bots actúan más rápido que cualquier fan, la batalla por conseguir una entrada legítima se ha convertido en una lucha desigual. Los sistemas CAPTCHA, antaño considerados la barrera definitiva contra los programas automatizados, están ahora en entredicho. Así lo afirma Raphael Michel, creador de pretix, una plataforma de venta de entradas de código abierto, quien sentencia:
“Los CAPTCHAs ya no ofrecen una protección significativa contra bots”.
Del texto distorsionado a la irrelevancia
Los CAPTCHAs nacieron con una misión clara: distinguir entre humanos y máquinas. Primero lo hicieron con letras distorsionadas, luego con imágenes —los famosos cuadros con semáforos o bicicletas— y, más tarde, con pruebas auditivas. Sin embargo, la inteligencia artificial ha aprendido a resolverlos todos. En 2025, los modelos de reconocimiento de texto, imágenes o voz superan en velocidad y precisión a los humanos en casi todas esas pruebas.
Para colmo, hacer las pruebas más difíciles afecta directamente a las personas, que empiezan a fallarlas o abandonan el proceso. Y la accesibilidad, ahora exigida legalmente en Europa, impide diseñar CAPTCHAs que excluyan a usuarios con discapacidad visual o auditiva.
De la trampa visual al espionaje conductual
Ante la caída de los CAPTCHAs tradicionales, los sistemas modernos optan por monitorizar el comportamiento del usuario. Servicios como reCAPTCHA v3 o Cloudflare observan cómo mueve el ratón, cómo navega o qué historial arrastra. Con ello estiman si es humano o máquina.
El problema: la privacidad desaparece. Para funcionar, necesitan enormes cantidades de datos personales, a menudo recabados a través de múltiples sitios. Esto genera perfiles invasivos y, en muchos casos, incumple principios éticos y legales.
Además, no hay espacio para errores. Un falso positivo puede dejar fuera a usuarios reales —como personas con tecnologías de asistencia o nuevos visitantes— sin posibilidad de apelación, especialmente en contextos de alta demanda como la venta de entradas.
Los bots ahora se comportan como tú (o como alguien con lector de pantalla)
Los bots modernos utilizan navegadores reales controlados por código, imitando al detalle el comportamiento humano. Y lo hacen tan bien que cualquier métrica técnica —como la falta de movimiento de ratón— puede coincidir también con usuarios legítimos, especialmente aquellos que usan tecnología asistiva.
En resumen: ya no se puede distinguir de forma fiable entre humanos y bots solo observando su comportamiento.
¿Y si les hacemos trabajar?
Algunas plataformas han comenzado a implementar proof of work, pequeñas tareas computacionales que el usuario debe resolver (sin darse cuenta) antes de poder acceder. La idea es encarecer el acceso automatizado.
Pero esto no funciona en la venta de entradas: el coste energético de ejecutar esa tarea es irrisorio comparado con los beneficios que obtiene un revendedor si logra una entrada y la revende por cientos de euros. Además, es un modelo poco sostenible desde el punto de vista ecológico.
El problema económico de los CAPTCHAs
Aunque existiera un CAPTCHA imposible para una IA, siempre existirán servicios que lo resolverán por ti. Hay empresas que combinan trabajadores mal pagados y algoritmos para superar cualquier barrera CAPTCHA por apenas unos céntimos.
¿Qué opciones quedan?
Según Michel, las únicas medidas realmente efectivas son:
- Vincular entradas a identidades verificadas, como nombres o documentos. Esto disuade la reventa, pero también complica la compra colectiva.
- Limitar por recursos escasos y difíciles de falsificar, como tarjetas de crédito o teléfonos verificados. Esto no elimina el fraude, pero lo encarece.
El teorema BAP: una decisión incómoda
Michel plantea una analogía inspirada en el teorema CAP de las bases de datos: el teorema BAP, que establece que es imposible tener simultáneamente estas tres cualidades en un sistema anti-bots:
- B: Resistente a bots
- A: Accesible
- P: Respetuoso con la privacidad
Solo se puede elegir dos. Así, las combinaciones posibles son:
- BA: Resistente y accesible, pero sin privacidad
- BP: Resistente y privado, pero poco accesible
- AP: Accesible y privado, pero vulnerable a los bots
¿Tecnología o solución social?
En última instancia, el creador de pretix lanza una reflexión: “Los problemas sociales no se solucionan solo con tecnología”. La legislación contra la reventa podría ser parte del camino, pero es una vía lenta y desigual entre países.
Mientras tanto, los organizadores deberán tomar una decisión incómoda:
¿Protegerse contra los bots, o proteger la privacidad y accesibilidad de sus usuarios?
En la era de la inteligencia artificial, parece que no se puede tener todo.
vía: behind.pretix.eu y Genbeta
