Recentemente, o Google está testando um novo recurso para fortalecer a verificação reCAPTCHA – “Hand Gesture Verification” (HGV), que coleta vídeos das mãos dos usuários para determinar se são pessoas reais. No entanto, esta funcionalidade rapidamente causou controvérsia em termos de privacidade e segurança.

De acordo com a documentação oficial do Google, o HGV exige que os visitantes do site concedam acesso à câmera de seus dispositivos para gravar “um ou mais” videoclipes manuais. Durante o processo de verificação, o usuário precisa acenar ou fazer um gesto designado para a câmera, e o sistema extrairá características biométricas importantes para determinar se o operador é um humano e não um script automatizado ou robô.
O Google acredita que este método de identificação biométrico pode melhorar a segurança do reCAPTCHA, mas os resultados dos testes reais mostram que o HGV não alcançou os resultados esperados. Pesquisadores de segurança e usuários comuns usaram com sucesso imagens de banco de dados e funções de câmera virtual para contornar esse sistema: o invasor só precisa preparar um "aceno" ou foto da mão correspondente ao movimento, e a verificação pode ser concluída por meio da saída da câmera virtual de software como o OBS Studio, sem a necessidade de uma câmera real e uma pessoa real para cooperar.
Com o avanço do aprendizado de máquina e da tecnologia de automação, os sistemas de código de verificação existentes têm sido frequentemente “quebrados” por robôs de IA. Vários estudos mostraram que os códigos tradicionais de verificação gráfica, como o reconhecimento complexo de semáforos, podem ser resolvidos por ferramentas automatizadas na maioria dos casos. Os primeiros casos de falha do HGV destacam ainda que, mesmo que a biometria seja introduzida, se o processo de interação e o próprio canal não possuírem um design antifalsificação, eles também poderão ser contornados em lotes por câmeras virtuais, imagens de banco de imagens e scripts simples.
Além da eficácia técnica, as questões de privacidade também se tornaram foco de controvérsia. Os críticos apontam que tais esquemas de verificação baseados em câmeras e biometria irão “normalizar” invisivelmente o monitoramento contínuo em segundo plano dos usuários, permitindo que os usuários abram dados de câmeras mais sensíveis para grandes empresas de tecnologia, a fim de acessar sites comuns. No atual ambiente cada vez mais sensível à privacidade, pedir aos usuários que forneçam frequentemente imagens ou vídeos ao vivo provavelmente será considerado uma coleta excessiva de dados.
Em resposta a dúvidas externas, o Google afirmou que o HGV só é utilizado para reconhecer gestos na gravação de vídeos, não coletará ou processará conteúdo de áudio, e que o vídeo será “excluído o mais rápido possível” após a conclusão da verificação. A nota oficial enfatizou ainda que esses vídeos “não estarão” diretamente vinculados à identidade do usuário. No entanto, alguns especialistas em segurança e privacidade acreditam que este compromisso é difícil de eliminar dúvidas - por um lado, os utilizadores comuns não podem verificar a real política de retenção de dados do sistema back-end; por outro lado, a infraestrutura em nuvem de grandes plataformas geralmente possui mecanismos redundantes de backup e recuperação de desastres, e o ciclo de vida real dos dados pode ser muito mais complicado do que o exibido pela interface front-end.
Esta preocupação não é infundada. Em um caso anterior de grande repercussão, o vídeo “excluído” da câmera Nest do Google foi recuperado do sistema em nuvem e usado para auxiliar na investigação de um incidente de sequestro de alto risco. Este caso é visto como prova de que mesmo que o conteúdo exibido na interface front-end tenha sido excluído, o sistema back-end ainda pode reter uma cópia dos dados correspondentes sob certas condições. Os críticos questionaram, portanto, se os dados de vídeo gravados pelos veículos pesados também serão retidos em determinados cenários ou utilizados para treinar vários modelos, incluindo o Gemini, amplificando assim potenciais riscos de privacidade.
À medida que o tráfego automatizado e a atividade de bots maliciosos continuam a crescer, a evolução da tecnologia CAPTCHA ainda é claramente uma questão importante enfrentada pelas principais plataformas. No entanto, a julgar pelo desempenho inicial dos veículos pesados, a introdução de câmaras e de sistemas biométricos, por si só, não pode garantir maior segurança. Em vez disso, pode expor antecipadamente os utilizadores a maiores riscos de privacidade, quando a tecnologia ainda não está madura. Embora os intervenientes da indústria, incluindo a Cloudflare e os fabricantes de navegadores, estejam a explorar ativamente soluções "de-captcha" para reduzir o atrito dos utilizadores, como encontrar um equilíbrio entre segurança, prevenção de abusos e proteção da privacidade está a tornar-se um problema que toda a indústria deve enfrentar.