Para conectarte a internet tendrás que salir a la calle: el proyecto IRLid sustituye los captchas por encuentros presenciales
Te explicamos un protocolo que autentica a las personas mediante un "apretón de manos" entre teléfonos móviles.
Mientras algunos servicios exigen "demostrar que eres humano" mediante el comportamiento en el navegador, y otros piden escanear el iris, ha surgido una tercera opción. El proyecto IRLid propone confirmar que detrás de una cuenta hay una persona real, sin biometría y sin una base de datos única con información personal.
La idea es sencilla: dos personas deben encontrarse físicamente y "darse la mano" con sus dispositivos. El protocolo se basa en el intercambio de códigos QR y verifica que ambos dispositivos estuvieron cerca al mismo tiempo. No se usan huellas dactilares, reconocimiento facial ni otros datos biométricos. En su lugar, el sistema se apoya en coordenadas GPS y firmas criptográficas.
El proceso es un intercambio breve. El primer participante abre la aplicación, el dispositivo registra coordenadas y hora, crea un mensaje firmado y muestra un código QR. El segundo participante escanea el código, verifica la firma, añade sus coordenadas y hora, firma la respuesta y muestra un nuevo código QR. Tras el segundo escaneo se genera un comprobante: un archivo con dos firmas, coordenadas y marcas de tiempo. Cualquier persona puede verificar la autenticidad de dicho comprobante directamente en el navegador, sin consultar a un servidor.
En la base están herramientas criptográficas estándar: la firma digital ECDSA en la curva P-256 y el hash SHA-256. Las claves se crean en el dispositivo del usuario y no lo abandonan. El protocolo comprueba varias condiciones: la diferencia de tiempo no supera los 90 segundos, la distancia entre los dispositivos no supera los 12 metros y las firmas corresponden realmente a los remitentes.
Este enfoque resuelve el problema de manera distinta a los sistemas habituales. Captchas como reCAPTCHA solo intentan adivinar si el usuario parece humano y ofrecen un resultado probabilístico. Las soluciones biométricas, como el escaneo del iris en World ID, ofrecen una garantía más sólida, pero requieren confianza en el operador del sistema y la transferencia de datos sensibles. IRLid ocupa una posición intermedia: exige presencia física, pero no recopila biometría ni almacena datos de forma centralizada.
Al mismo tiempo, los autores no ocultan las limitaciones. Las coordenadas provienen del mecanismo estándar de geolocalización del navegador, por lo que pueden falsificarse a nivel del sistema operativo o de la aplicación. Las claves privadas se almacenan en el navegador y pueden ser robadas si el dispositivo se compromete. Dos personas pueden acordar crear un comprobante sin que exista una confianza real entre ellas. Un usuario con varios teléfonos también podría eludir el sistema.
Además, el protocolo no vincula las claves con una identidad concreta. El comprobante confirma solo el hecho del encuentro de dos dispositivos, no quién los posee. Tampoco existe un mecanismo de revocación de claves si un dispositivo se ve comprometido.
A pesar de sus limitaciones, la idea puede resultar útil donde importe el hecho mismo del encuentro presencial: en eventos, en comunidades locales o en sistemas donde la confianza se acumula mediante una cadena de tales confirmaciones. Los desarrolladores proponen considerar IRLid como un bloque de construcción, no como un reemplazo definitivo de los captchas o la biometría.