Trust Tokens

Trust Tokens es una nueva API cuya finalidad es combatir los fraudes y distinguir a los bots de los humanos reales, sin la necesidad de efectuar un seguimiento pasivo.

Published on Updated on

Translated to: English, Português, 한국어, 中文, Pусский, 日本語

Estado de la implementación

¿Qué son los Trust Tokens?

Trust Tokens permite que la confianza en la autenticidad de un usuario se transmita de un contexto a otro, con la finalidad de que los sitios web puedan combatir los fraudes y distinguir a los bots de los humanos reales, sin la necesidad de efectuar un seguimiento pasivo.

  • El sitio web emisor puede expedir tokens al navegador web de un usuario que demuestre ser confiable, por ejemplo, mediante el uso continuo de la cuenta, al completar una transacción o al obtener una puntuación aceptable en el reCAPTCHA.
  • El sitio web que responde puede confirmar que no se trata de un usuario falso al verificar si cuenta con los tokens de un emisor de confianza para quien emite la respuesta, y luego podrá canjear los tokens en caso de ser necesario.

Los Trust tokens están cifrados, de modo que no es posible identificar a un individuo o relacionarlo con las instancias que son confiables, o no lo son, para descubrir la identidad del usuario.

Precaución

Los Trust Tokens no sustituyen al reCAPTCHA ni a otros mecanismos que permiten determinar si un usuario es quien dice ser.

Los Trust Tokens son una forma de transmitir confianza en un usuario, no de establecer confianza en un usuario.

¿Por qué necesitamos a los Trust Tokens?

La web necesita formas de establecer y transmitir señales de confianza que demuestren que un usuario es quien dice ser, y no un bot que finge ser un humano o un tercero malintencionado con la intención de defraudar a una persona o servicio real. La protección contra el fraude es particularmente importante para los publicistas, los proveedores de anuncios y las Redes de distribución de contenido o CDN.

Desafortunadamente, muchos de los mecanismos que existen actualmente para evaluar y transmitir la confiabilidad (por ejemplo, para determinar si la interacción con un sitio proviene de un ser humano real) aprovechan las técnicas que también se utilizan para la toma de huellas dactilares. Los mecanismos para transmitir confianza deben preservar la privacidad, permitiendo que la confianza se propague a través de los sitios sin la necesidad de realizar un seguimiento del usuario de forma individual.

Con la API de Trust Tokens, un sitio web puede emitir tokens criptográficos a un usuario en el que confía, los cuales posteriormente pueden utilizarse en otro lugar. Los tokens se almacenan de forma segura en el navegador del usuario y luego se pueden canjear en otros contextos para confirmar la autenticidad del usuario. Esto permite que la confianza de un usuario en un sitio web (como un sitio de redes sociales o un servicio de correo electrónico) se transmita a otro sitio web (como un editor o una tienda en línea) sin que sea necesario identificar al usuario o relacionar ambas identidades entre los sitios.

Término Clave

La toma de huellas dactilares permite a los sitios identificar y hacer un seguimiento de los usuarios de forma individual al obtener información sobre su dispositivo, sistema operativo y configuración del navegador (como las preferencias del idioma, el agente de usuario y las fuentes que están disponibles) o los cambios efectuados en el estado del dispositivo. Esto se puede hacer en el servidor comprobando los encabezados de las solicitudes o en el cliente a través de JavaScript.

La toma de huellas dactilares utiliza mecanismos que los usuarios no conocen y que tampoco pueden controlar. Sitios como Panopticlick y amiunique.org muestran cómo se puede combinar la información proveniente de las huellas digitales para identificarlo como individuo.

¿Cómo funcionan los Trust Tokens?

En este ejemplo, el sitio web de un editor quiere verificar si un usuario es un ser humano real, y no un bot, antes de mostrar un anuncio.

  1. Un usuario visita un sitio web (conocido como emisor ) y realiza acciones que llevan al sitio a creer que el usuario es un ser humano real, como hacer compras, usar una cuenta de correo electrónico o completar con éxito un reCAPTCHA.
  2. El sitio del emisor utiliza la API de JavaScript, Trust Tokens, para activar una solicitud de tokens de confianza para el navegador del usuario.
  3. El sitio del emisor responde con datos del token.
  4. El navegador del usuario almacena de forma segura los datos que provienen del token de confianza.
  5. El usuario visita un sitio web diferente (como un editor de noticias) que quiere verificar si el usuario es un ser humano real: por ejemplo, cuando muestra anuncios.
  6. El sitio utiliza la API de Trust Tokens para verificar si el navegador del usuario tiene almacenados tokens de confianza para los emisores en quienes confía el sitio.
  7. Se encuentran tokens de confianza para el emisor que el usuario visitó anteriormente.
  8. El sitio del editor solicita al emisor que canjee los tokens de confianza.
  9. El sitio del emisor responde con un Registro de redención.
  10. El sitio del editor hace una solicitud a una plataforma publicitaria, incluido el Registro de redención, para demostrar que el emisor confía en que el usuario es un ser humano real.
  11. La plataforma publicitaria proporciona los datos necesarios para mostrar un anuncio.
  12. El sitio del editor muestra el anuncio.
  13. Esto se cuenta como una impresión en la visualización del anuncio.

Para obtener más detalles sobre las llamadas de JavaScript que se mencionaron en este ejemplo, consulte el Ejemplo acerca del uso de la API.


Participe y comparta sus comentarios

Obtener más información

Last updated: Improve article

We serve cookies on this site to analyze traffic, remember your preferences, and optimize your experience.