Seu café da manhã nunca mais será o mesmo: a invasão dos bots que está quebrando a internet
A Guerra Contra Bots Acabou se Virando Contra Nós
Deixa eu te pintar um cenário. São 7 da manhã. Você está no segundo café, tentando dar uma olhada rápida nas notícias antes do trabalho. Mas em vez de ler aquele artigo sobre regulamentação de IA, você está ali, squintando para imagens distorcidas de faixas de pedestres, motos e sinais de trânsito. De novo. Você passa no teste — quase não — e finalmente consegue ver o conteúdo. Te soa familiar?
Você não está sozinho. E essa frustração só está piorando.
O Problema por Trás dos CAPTCHA
Aqui vai o que está acontecendo nos bastidores: donos de sites têm pavor de bots. E na real, eles têm bons motivos para isso. Ataques de credential stuffing, spam em comentários, bots que compram ingressos, scraping de dados — tudo isso custa milhões por ano e estraga a experiência para todo mundo.
O problema é como a maioria dos sites está lutando contra isso.
Quando você elimina os sinais de rastreamento que os navegadores trabalharam para remover — como cookies de terceiros, fingerprints detalhados de navegador e endereços IP persistentes — você também remove as ferramentas que os sistemas anti-abuso usavam para separar humanos de bots. Então os sites compensam exigindo mais provas de que os visitantes são legítimos.
O resultado? Mais CAPTCHAs. Mais logins obrigatórios só para ler uma página. Mais bloqueios de "desculpa, não conseguimos verificar se você é humano". Mais sites banindo tráfego de VPN porque muitos atores ruins se escondem atrás delas.
Estamos presos em uma espiral perdedora onde privacidade e usabilidade estão em guerra uma com a outra.
Soluções Piores Que o Problema
Algumas propostas de correção parecem razoáveis até você olhar mais de perto.
O Web Environment Integrity (WEI), por exemplo, pede para os usuários provarem que seus dispositivos são "confiáveis" antes de acessar determinados conteúdos. Na superfície, faz sentido — você quer manter fora dispositivos comprometidos rodando scripts de bots. Mas tem um detalhe: essa determinação seria feita por um pequeno grupo de gatekeepers de sistemas operacionais e hardware. Eles controlariam quais dispositivos e softwares podem acessar a web.
Te parece familiar? É basicamente trocar um conjunto de gatekeepers (redes de anúncios e data brokers) por outro (fabricantes de chips e desenvolvedores de OS). E a história nos mostra que quando você concentra o controle sobre o acesso à web, você cria pontos únicos de falha, potencial para abuso e barreiras para inovação.
Na NameOcean, acreditamos que o próprio sistema de nomes de domínio é um exemplo perfeito de por que a descentralização importa. Quando a ICANN gerencia a root zone através de um processo distribuído e internacional, nenhuma entidade única pode desligar a internet inteira. A mesma filosofia deveria se aplicar a provar que você é humano.
Um Caminho Melhor: Vouching Preservando Privacidade
E se os sites não precisassem saber quem você é, apenas que você é um humano legítimo dentro de limites razoáveis de taxa?
Essa é a ideia central que está impulsionando novas pesquisas em credenciais anônimas. O conceito é elegante: em vez de exigir que usuários provem sua identidade ou confiabilidade do dispositivo para cada site individualmente, e se as partes com quem você já tem relacionamento pudessem dar referências por você?
Pensa assim. Você assina um serviço de VPN porque valoriza sua privacidade. Mas essa faixa de IPs da VPN provavelmente está em dezenas de blocklists porque outros sites foram queimados por tráfego de bots dos mesmos IPs. Então em vez de bloquear tráfego de VPN completamente — o que pune usuários legítimos — e se seu provedor de VPN pudesse atestar criptograficamente: "Este é um dos nossos assinantes pagantes. Eles estão limitados a taxas de uso razoáveis. Por favor, trate-os de acordo."
O site ganha garantia de que você não é um bot operando em escala. O provedor de VPN não revela sua identidade nem que você usou o serviço deles. Você enfrenta menos roadblocks.
Isso não é ficção científica. A Apple já usa um conceito similar com Private Access Tokens, que permitem dispositivos iOS provarem que não são bots sem revelar quais sites você visita. O sistema funciona porque a Apple controla o hardware, o que cria a confiança.
Mas podemos ir além sem precisar de fabricantes de hardware no processo.
Credenciais Anônimas: A Base Técnica
Credenciais anônimas criptográficas permitem que uma parte emita para você uma credencial que você pode apresentar depois para verificar algo sobre si mesmo — sem revelar sua identidade ou permitir rastreamento.
Imagina um sistema de carteirinha de biblioteca onde a biblioteca diz "esta pessoa é um leitor verificado" sem registrar qual cartão foi usado em qual biblioteca. Você consegue acesso. A biblioteca tem prova de legitimidade. Ninguém monta um dossiê dos seus hábitos de leitura.
O mesmo princípio se aplica a rate limiting. Um emissor de credenciais poderia dizer "este usuário é legítimo e não excedeu seu limite de uso" sem revelar quem é, de onde veio a credencial, ou permitir que sites correlacionem suas visitas pela web.
Essa é a base criptográfica que torna possível o vouching preservando privacidade. E diferentemente da atestado de hardware, não exige confiar na Qualcomm, Intel ou Apple para decidir qual software pode acessar a web.
O Que Isso Significa para Desenvolvedores e Negócios
Se você está construindo aplicações web, provavelmente já enfrentou essa tensão. Você quer proteger sua infraestrutura de abuso. Mas também não quer criar barreiras que afastem usuários legítimos.
As opções atuais são instrumentos brutos. CAPTCHAs têm uma taxa de falha de 30-50% para humanos. Bloqueio de IP pega VPNs e usuários de Tor em massa. Walls de login reduzem sua audiência e criam fricção.
Um sistema de credenciais anônimas preservando privacidade mudaria fundamentalmente esse trade-off. Você teria um sinal melhor sobre se o tráfego é legítimo sem construir infraestrutura invasiva de rastreamento. Seus usuários teriam uma experiência mais fluida sem sacrificar privacidade.
Na NameOcean, estamos acompanhando esses desenvolvimentos de perto porque os mesmos princípios se aplicam a registro de domínios e DNS. Já vimos como o controle concentrado sobre infraestrutura crítica cria riscos. Uma web onde qualquer parte pode dar referências por usuários — e sites podem decidir quais emissores confiar — espelha nossa crença de que a arquitetura aberta e descentralizada da internet deve ser preservada em cada camada.
O Caminho à Frente
Não vamos resolver isso da noite para o dia. Implementar credenciais anônimas em escala web requer resolver problemas difíceis em criptografia, padronização e experiência do usuário. As propostas sendo discutidas na Mozilla, Cloudflare e entre fabricantes de navegadores são promissoras, mas ainda estão no início.
O que importa é que a conversa está acontecendo. A web não precisa escolher entre privacidade e usabilidade. Podemos construir sistemas que verifiquem humanos sem vigiá-los.
Até lá, continuaremos squintando para aquelas faixas de pedestres. Mas talvez não para sempre.