Las claves de reCAPTCHA (también conocidas como claves) te permiten proteger tus endpoints verificando las interacciones de los usuarios en tus páginas web y aplicaciones móviles.
Para elegir el tipo de clave de reCAPTCHA adecuado, debes conocer los tipos de claves que se admiten en cada plataforma y sus diferencias.
Tipos de claves de reCAPTCHA
En la siguiente tabla se enumeran las claves de reCAPTCHA admitidas en cada plataforma:
| Plataforma | Descripción | Claves admitidas | Tipo de verificación de la identidad |
|---|---|---|---|
| web | Para la integración en páginas web. | Claves basadas en una puntuación | SCORE |
| Teclas de casilla | CHECKBOX |
||
| Claves de verificación basadas en políticas (vista previa) | POLICY_BASED_CHALLENGE |
||
| móvil | Para la integración con aplicaciones Android y iOS. | Claves de reCAPTCHA para Android | SCORE |
| Claves de reCAPTCHA para iOS | SCORE |
||
| WAF | Para páginas web y APIs que se sirven a través de servidores de WAF o de Edge Compute. | Claves de token de acción | SCORE y CHECKBOX |
| Claves de token de sesión | SCORE |
||
| Claves de página de verificación | INVISIBLE |
||
| API | Para integrarse con APIs o clientes, como dispositivos IoT, que no admiten JavaScript ni SDKs para móviles de reCAPTCHA. | Teclas de acceso rápido | SCORE |
Elegir un tipo de clave de reCAPTCHA para la Web
Para verificar las interacciones de los usuarios en los sitios web, reCAPTCHA proporciona claves basadas en puntuación, que no activan desafíos CAPTCHA, claves de casilla, que activan desafíos CAPTCHA no deterministas, y claves de desafío basadas en políticas, que activan desafíos CAPTCHA deterministas.
Todos los tipos de clave devuelven una puntuación por cada solicitud, que se basa en las interacciones de los usuarios con su sitio. Esta puntuación te permite conocer el nivel de riesgo que supone la interacción y te ayuda a tomar las medidas adecuadas para tu sitio.
En la siguiente tabla se resumen las diferencias entre las claves basadas en puntuación, las claves de casilla y las claves de verificación basadas en políticas:
| Categoría de comparación | Clave basada en la puntuación (recomendado) | Clave de casilla | Clave de verificación basada en políticas (vista previa) |
|---|---|---|---|
| Descripción | Las claves basadas en puntuación te permiten verificar si una interacción es legítima sin que el usuario tenga que hacer nada. | Las claves de casilla usan un reto de casilla que requiere la interacción del usuario para verificar que no es un robot. También puedes usar claves de casilla para proteger acciones específicas con retos CAPTCHA. |
Las claves de desafío basadas en políticas activan desafíos CAPTCHA en función del umbral de puntuación configurado. Puedes usar claves de verificación basadas en políticas para proteger acciones específicas mediante verificaciones CAPTCHA. |
| Cómo funciona | Con las claves basadas en puntuaciones, la API de reCAPTCHA Enterprise devuelve una puntuación que puedes usar para tomar medidas en el contexto de tu sitio. Algunas de las medidas que puedes tomar son: requerir factores de autenticación adicionales, enviar una publicación a moderación o limitar los bots que puedan estar raspando contenido. |
Una clave de casilla renderiza una casilla No soy un robot en la que el usuario debe hacer clic para verificar que no es un robot. Es posible que esta clave de casilla les proponga o no pruebas CAPTCHA. En ambos casos, la API de reCAPTCHA Enterprise devuelve una puntuación. Los retos CAPTCHA requieren que un usuario seleccione ciertos tipos de objetos, como señales de tráfico, de una colección de imágenes. El siguiente GIF animado es un ejemplo de una clave de casilla de verificación: En la siguiente imagen se muestra un ejemplo de prueba CAPTCHA: 
Antes de usar los retos CAPTCHA, debes conocer las advertencias sobre los retos CAPTCHA. |
Con las claves de verificación basadas en políticas, las verificaciones CAPTCHA se activan si la puntuación inicial que calcula reCAPTCHA está por debajo del umbral de puntuación configurado. Las claves de prueba basadas en políticas se diferencian de las claves de casilla porque pueden activar de forma determinista las pruebas CAPTCHA. Los retos CAPTCHA requieren que un usuario seleccione ciertos tipos de objetos, como señales de tráfico, de una colección de imágenes. En la siguiente imagen se muestra un ejemplo de prueba CAPTCHA:
Antes de usar los retos CAPTCHA, debes conocer las advertencias sobre los retos CAPTCHA. |
| Plataformas compatibles | Sitios web y plataformas móviles. | Solo sitios web. | Solo sitios web. |
| Casos prácticos |
Las claves basadas en puntuación son adecuadas para los siguientes casos prácticos:
|
Las claves de casilla son adecuadas para formularios, inicios de sesión y registros en páginas web. Aunque puede causar fricción adicional a los usuarios, un paso adicional, como un captcha, ayuda a disuadir a los atacantes poco sofisticados. | Las claves de verificación basadas en políticas son adecuadas para formularios, inicios de sesión y registros en páginas web. Aunque puede causar fricción adicional a los usuarios, un paso adicional, como un captcha, ayuda a disuadir a los atacantes poco sofisticados. |
Advertencias sobre las pruebas CAPTCHA
Si quieres usar claves de casilla con pruebas CAPTCHA para protegerte contra ataques automatizados, ten en cuenta las siguientes advertencias:
- Los CAPTCHAs requieren la interacción de los usuarios, lo que aumenta la fricción y puede reducir las tasas de conversión.
- Debido a los avances en visión artificial e inteligencia artificial, los CAPTCHAs son cada vez menos útiles para distinguir entre humanos y bots.
- Las CAPTCHAs también están amenazadas por atacantes que pagan y que pueden resolver todo tipo de desafíos.
- Los CAPTCHAs no son accesibles para todos los usuarios, por lo que puede que no sean adecuados si tu sitio web tiene requisitos de accesibilidad.
Elegir tipos de claves de reCAPTCHA para WAF
reCAPTCHA para integraciones de Google Cloud Armor admite tokens de acción, tokens de sesión, páginas de verificación y reCAPTCHA express
Puedes usar una o varias funciones de reCAPTCHA para Google Cloud Armor en una sola aplicación. Por ejemplo, puedes aplicar un token de sesión a todas las páginas y, en función de la puntuación del token de sesión, puedes redirigir las solicitudes sospechosas a la página de prueba reCAPTCHA. También puedes usar un token de acción para acciones de alto perfil, como la tramitación de la compra. Para obtener más información, consulta los ejemplos.
En la siguiente tabla se muestra una breve comparación de las funciones de reCAPTCHA disponibles para Google Cloud Armor:
| Categoría de comparación | Tokens de acción de reCAPTCHA | Tokens de sesión de reCAPTCHA | Página de prueba reCAPTCHA | reCAPTCHA express |
|---|---|---|---|---|
| Caso práctico | Se usa para proteger las acciones de los usuarios, como iniciar sesión o publicar comentarios. | Se usa para proteger toda la sesión del usuario en el dominio del sitio. | Úsalo cuando sospeches que hay actividad de spam dirigida a tu sitio y necesites filtrar los bots.
Este método interrumpe la actividad de un usuario porque tiene que verificar una prueba CAPTCHA. |
Usa reCAPTCHA Express cuando tu entorno no admita la integración de JavaScript de reCAPTCHA o de los SDKs para móviles. |
| Plataformas compatibles | Sitios web y aplicaciones móviles | Sitios web | Sitios web | Todas las solicitudes HTTP. Incluidas las APIs, los sitios web, las aplicaciones móviles y los dispositivos IoT, como televisiones y videoconsolas |
| Esfuerzo de integración del cliente | Mediano
Integración manual del lado del cliente. |
Mediano
Instala el JavaScript de reCAPTCHA manualmente o mediante inyección en el WAF. |
Baja
Interstitial activado por políticas de seguridad. |
Baja
No se requiere integración del cliente. |
| Precisión de detección | Más alta
Hay disponibles señales específicas de cliente, servidor y acción. |
Alta
Hay disponibles señales específicas del cliente y del servidor. |
Mediano
Hay disponibles señales específicas del cliente y del servidor. Las señales del cliente solo están disponibles en una página intersticial. |
Baja
Solo están disponibles las señales del lado del servidor. |
| Versión de reCAPTCHA admitida | Claves de reCAPTCHA basadas en puntuación y de casilla | Claves basadas en la puntuación de reCAPTCHA | Claves basadas en pruebas de reCAPTCHA insertadas en una página intersticial | Claves express de reCAPTCHA |
Elegir claves exprés de reCAPTCHA para APIs
Usa reCAPTCHA Express cuando tu entorno no admita una integración de cliente de reCAPTCHA, como la API de JavaScript o los SDKs para móviles. reCAPTCHA Express es adecuado para APIs, sitios web, aplicaciones móviles y dispositivos del Internet de las cosas, como televisiones y consolas de videojuegos, pero también se puede usar para proteger sitios web o aplicaciones móviles cuando no sea posible realizar una integración del lado del cliente.
Como reCAPTCHA express es una integración solo del lado del servidor, no recoge señales del lado del cliente. Por lo general, esto conlleva una menor precisión de detección que las integraciones que incluyen un componente del lado del cliente.
Siguientes pasos
- Crea claves de reCAPTCHA para sitios web.
- Crea claves de reCAPTCHA para aplicaciones móviles.
- Consulta más información sobre las claves de reCAPTCHA para WAF.
- Consulta más información sobre las claves exprés de reCAPTCHA para APIs.