Hashcash protege tu web contra el spam

En Software, Webmasters por

Todos hemos sufrido algún ataque de spam en nuestro blog WordPress o página web, en la gran mayoría de webs se recurre a implementar un sistema de captchas, en el que tenemos que introducir la solución a una prueba visual, que en principio las máquinas no serían capaces de solucionar. Con la aparición de Hashcash podemos proteger contra el spam o ataques de fuerza bruta nuestro blog WordPress o página web prescindiendo de los molestos captchas.

Hashcash protege tu web contra el spam

Hashcash me ha llamado la atención porque es una solución bastante práctica y limpia frente a los captchas tradicionales. Los captchas tradicionales pueden llegar a ser frustrantes, resolver una y otra vez interminables cadenas de texto que en ocasiones requieren de un esfuerzo considerable para poder obtener la solución. Muchas veces el captcha tradicional es el elemento decisivo que evita que un buen usuario deje un comentario en nuestro blog, porque son realmente molestos y rompen el flujo de actividad del usuario.

Muchos estaréis pensando que también existen los captchas de audio, pero son incluso peores que los visuales. La cuestión es que los captchas siguen siendo usados porque no existe otro método más práctico que lo remplace, pero Hashcash parece una gran alternativa.

¿Qué es Hashcash y cómo funciona?

Hashcash nos ofrece un nuevo método para mantener nuestras webs libres de comentarios de spam y protegidos contra ataques de fuerza bruta. Disponen de una página web con información pero está totalmente en inglés Hashcash.io

¿Cómo funciona Hashcash?

Hashcash fuerza a los usuarios a resolver una serie de operaciones matemáticas, pero estas las resuelve el propio navegador empleando las tecnologías Asm.js, HTML5 y Web Workers.

Cuando se aplica a WordPress con el plugin oficial de Hascash para WordPress, lo que conseguimos es proteger los formularios de login y el de envio de comentarios. Los botones de estos formularios permanecen desactivados hasta que se pulsa el botón de Hashcash y el navegador termina de resolver las operaciones matemáticas.

En las siguientes imágenes vemos como se muestra una barra de progreso hasta que las operaciones son finalizadas y se muestran los botones del formulario activos.

Hashcash desbloqueo

Una de las opciones que ofrece el plugin es establecer la dificultad de las operaciones matemáticas a realizar. Cuanto más difíciles sean, más tiempo llevará conseguir la solución y desbloquear el formulario.

Inconvenientes y ventajas de Hashcash frente a los captchas tradicionales

Empezaremos nombrando algunas de las ventajas de este sistema anti spam:

  • Integración limpia en las páginas web.
  • El esfuerzo de resolver el captcha lo realiza la máquina y no la persona.
  • Protege contra ataques de spam y de fuerza bruta.
  • Dispone de una API para facilitar la integración de Hashcash en cualquier sitio web.

Desventajas o inconvenientes de Hashcash:

  • A pesar de ser molesto para los bots de spam no ofrece una protección total.
  • Compatible sólo con navegadores modernos:
    • Google Chrome 7+
    • Mozilla Firefox 4+
    • Internet Explorer 10+
    • Opera 11.6+
    • Safari 5.1+
    • Android Browser 4.4+
    • iOS Safari 5+
    • Blackberry Browser 10+
  • Como depende del hardware, en equipos con pocos recursos este sistema puede ser extremadamente lento.
  • Interrumpe el flujo de actividad del usuario con tiempos de espera.

En definitiva, me había ilusionado con este sistema tan limpio y poco intrusivo, pero tras probarlo a fondo, el hecho de requerir un hardware y un navegador moderno dejan de hacerlo viable. Hay una demo disponible sobre la cual he hecho varias pruebas. En mi PC con hardware de un año de antigüedad aproximadamente (Windows 7 64bit, CPU Intel Core i5 3570k, 8GB de RAM) las operaciones se resolvieron en menos de 10 segundos mientras que una prueba en mi smartphone Sony Xperia P, que ya tiene varios años, le ha costado un minuto obtener la solución y desbloquear el formulario. Un minuto es un tiempo de espera inadmisible, por lo que este sistema queda totalmente descartado en paginas web susceptibles de recibir visitas desde dispositivos móviles.

En Vozidea seguimos apostando por Akismet y prescindir de molestos captchas, por el momento es el sistema que mejores resultados ha dado, aunque hay que decir que se bloquean una media de 150 comentarios de spam al día con el consumo de recursos que esto conlleva.