En esta página se explica cómo interpretar una puntuación para conocer el nivel de riesgo que suponen las interacciones de los usuarios y tomar las medidas adecuadas para tu aplicación móvil.
reCAPTCHA devuelve una puntuación para cada solicitud basada en las interacciones con tu aplicación móvil. Después de recibir la puntuación de reCAPTCHA, debes interpretarla y tomar las medidas adecuadas para tu aplicación móvil.
Antes de empezar
Crea una evaluación para tu aplicación móvil.
Interpretar la evaluación
Una vez que tu backend envía a reCAPTCHA el token de respuesta de reCAPTCHA de un usuario, recibes una evaluación en formato JSON, como se muestra en el siguiente ejemplo.
Para interpretar una evaluación, tenga en cuenta los siguientes parámetros:
valid: indica si el token de respuesta del usuario proporcionado es válido. Cuandovalid = false, el motivo se especifica eninvalidReason.valid = falsetambién puede indicar que un usuario no ha resuelto un reto o que hay unsitekeyerror de coincidencia.invalidReason: motivo asociado a la respuesta cuandovalid = false.action: una interacción de un usuario que ha activado la verificación de reCAPTCHA.expectedAction: la acción esperada de un usuario que has especificado al crear la evaluación.score: nivel de riesgo que supone la interacción del usuario.reasons: información adicional sobre cómo ha interpretado reCAPTCHA la interacción del usuario.Los códigos de motivo están disponibles después de activar una revisión de seguridad automática añadiendo una cuenta de facturación a tu proyecto. Para solicitar acceso a los códigos de motivo, añade una cuenta de facturación a tu proyecto.
{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
Verificar acciones
La respuesta JSON contiene el parámetro action que has especificado para una interacción del usuario al llamar a execute() y el parámetro expectedAction que has especificado al crear la evaluación.
Verifica que action coincida con expectedAction.
Por ejemplo, se debe devolver una acción login en la página inicio de sesión.
Si no coinciden, significa que un atacante está intentando falsificar acciones. Puedes tomar medidas contra la interacción del usuario, como añadir verificaciones adicionales o bloquear la interacción para evitar actividades fraudulentas.
Interpretar las puntuaciones
El sistema de puntuación de reCAPTCHA es una ampliación de las versiones anteriores de reCAPTCHA que permite una mayor granularidad en las respuestas. reCAPTCHA tiene 11 niveles de puntuación con valores que van de 0,0 a 1,0. La puntuación 1,0 indica que la interacción supone un riesgo bajo y es muy probable que sea legítima, mientras que 0,0 indica que la interacción supone un riesgo alto y podría ser fraudulenta. De los 11 niveles, solo están disponibles los cuatro siguientes antes de activar una revisión de seguridad automática añadiendo una cuenta de facturación a tu proyecto: 0,1, 0,3, 0,7 y 0,9.
Para solicitar acceso a 11 niveles de puntuación, añade una cuenta de facturación a tu proyecto.
reCAPTCHA aprende monitorizando el tráfico real de tu aplicación móvil. Por lo tanto, las puntuaciones de un entorno de pruebas y las que se obtengan en los 7 días posteriores a la implementación pueden ser diferentes de las puntuaciones de producción a largo plazo.
Como las claves de reCAPTCHA para aplicaciones móviles no interrumpen el flujo de los usuarios, puedes ejecutar reCAPTCHA primero sin tomar ninguna medida y, después, decidir los umbrales en función del tráfico.
Según la puntuación, puedes tomar las medidas oportunas en el contexto de tu aplicación móvil. Para proteger mejor tu aplicación móvil, te recomendamos que realices la acción en segundo plano en lugar de bloquear el tráfico.
En la siguiente tabla se enumeran algunas de las acciones que puedes llevar a cabo:
| Caso práctico | Acción |
|---|---|
| iniciar sesión | Si las puntuaciones son bajas, requiere la autenticación multifactor o la verificación por correo electrónico para evitar ataques de relleno de credenciales. |
| social | Limitar las solicitudes de amistad sin responder de usuarios abusivos y enviar los comentarios arriesgados a moderación. |
| Comercio electrónico | Prioriza las ventas reales frente a los bots e identifica las transacciones arriesgadas. |
Códigos de motivo
Los códigos de motivo están disponibles después de activar una revisión de seguridad automática añadiendo una cuenta de facturación. Para solicitar acceso a los códigos de motivo, añade una cuenta de facturación a tu proyecto.
Algunas puntuaciones pueden devolverse con códigos de motivo que proporcionan información adicional sobre cómo ha interpretado reCAPTCHA las interacciones.
En la siguiente tabla se enumeran los códigos de motivo y sus descripciones:
| Código del motivo | Descripción |
|---|---|
| AUTOMATIZACIÓN | La interacción coincide con el comportamiento de un agente automatizado. |
| UNEXPECTED_ENVIRONMENT | El evento procede de un entorno ilegítimo. |
| TOO_MUCH_TRAFFIC | El volumen de tráfico de la fuente del evento es más alto de lo normal. |
| UNEXPECTED_USAGE_PATTERNS | La interacción con tu sitio ha sido significativamente diferente de los patrones esperados. |
| LOW_CONFIDENCE_SCORE | No se ha recibido suficiente tráfico de este sitio para generar un análisis de riesgo de calidad. |
Siguientes pasos
- Para ajustar el modelo específico de tu sitio, puedes enviar los IDs de evaluación a Google para confirmar los positivos y negativos verdaderos, o bien para corregir los errores. Para obtener más información, consulta Anotar evaluaciones.