Se usó la API de Cloud Translation para traducir esta página.

Interpreta las evaluaciones para sitios web

En esta página, se explica cómo interpretar una puntuación para comprender el nivel de riesgo que representan las interacciones de los usuarios y tomar las medidas adecuadas para tu sitio.

reCAPTCHA devuelve una puntuación para cada solicitud según las interacciones con tu sitio, independientemente del tipo de clave. Después de recibir la puntuación de reCAPTCHA, debes interpretarla y tomar las medidas adecuadas para tu sitio.

Antes de comenzar

Crea una evaluación para tu sitio web.

Interpreta la evaluación

Después de que tu backend envíe un token de respuesta de reCAPTCHA del usuario a reCAPTCHA, recibirás una evaluación como una respuesta JSON, como se muestra en el siguiente ejemplo.

Para interpretar una evaluación, considera los siguientes parámetros:

valid: Indica si el token de respuesta del usuario proporcionado es válido. Cuando es valid = false, el motivo se especifica en invalidReason. valid = false también puede indicar que un usuario no pudo resolver un desafío o que hay una discrepancia en siteKey.
invalidReason: Es el motivo asociado a la respuesta cuando valid = false.
action: Es una interacción del usuario que activó la verificación de reCAPTCHA.
expectedAction: Es la acción esperada de un usuario que especificaste cuando creaste la evaluación.
score: Es el nivel de riesgo que representa la interacción del usuario.
reasons: Es información adicional sobre cómo reCAPTCHA interpretó la interacción del usuario.

challenge (vista previa): Indica la respuesta al desafío para las claves de desafío basadas en políticas. Los valores posibles son PASS, FAIL o NOCAPTCHA.

{
 "event":{
    "expectedAction":"EXPECTED_ACTION",
    "hashedAccountId":"ACCOUNT_ID",
    "siteKey":"KEY_ID",
    "token":"TOKEN",
    "userAgent":"(USER-PROVIDED STRING)",
    "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
 },
 "name":"ASSESSMENT_ID",
 "riskAnalysis":{
   "reasons":[],
   "score":"SCORE"
   "challenge":"PASS"
 },
 "tokenProperties":{
   "action":"USER_INTERACTION",
   "createTime":"TIMESTAMP",
   "hostname":"HOSTNAME",
   "invalidReason":"(ENUM)",
   "valid":(BOOLEAN)
 }
}

Verifica las acciones

La respuesta JSON contiene el parámetro action que especificaste para una interacción del usuario cuando llamaste a execute() y el parámetro expectedAction que especificaste cuando creaste la evaluación.

Verifica que action coincida con expectedAction. Por ejemplo, se debe devolver una acción login en tu página de acceso. Si no hay coincidencia, indica que un atacante está intentando falsificar acciones. Puedes tomar medidas contra la interacción del usuario, como agregar verificaciones adicionales o bloquear la interacción para evitar actividades fraudulentas.

Interpretar las puntuaciones

El sistema de puntuación de reCAPTCHA es una expansión de las versiones anteriores de reCAPTCHA que permite una mayor granularidad en las respuestas. reCAPTCHA tiene 11 niveles de puntuación con valores que van de 0.0 a 1.0. La puntuación de 1.0 indica que la interacción representa un riesgo bajo y es muy probable que sea legítima, mientras que la de 0.0 indica que la interacción representa un riesgo alto y podría ser fraudulenta.

De los 11 niveles, solo los siguientes cuatro están disponibles antes de que se active una revisión de seguridad automática agregando una cuenta de facturación a tu proyecto: 0.1, 0.3, 0.7 y 0.9.

Para solicitar acceso a los 11 niveles de puntuación, agrega una cuenta de facturación a tu proyecto.

La puntuación de riesgo de reCAPTCHA SMS defense funciona de forma inversa en comparación con la puntuación global de reCAPTCHA. Una puntuación de riesgo de reCAPTCHA SMS defense de 0.0 muestra una baja confianza en que se produzca un fraude de cargos telefónicos por SMS, mientras que una puntuación de riesgo de 1.0 muestra una alta confianza en que se produzca un fraude de cargos telefónicos por SMS.

reCAPTCHA aprende supervisando el tráfico real en tu sitio. Por lo tanto, los puntajes en un entorno de etapa de pruebas y dentro de los 7 días posteriores a la implementación pueden diferir de los puntajes de producción a largo plazo.

Si instalaste claves basadas en la puntuación, primero puedes ejecutar reCAPTCHA sin tomar medidas y, luego, decidir los límites observando el tráfico.

Según la puntuación, puedes tomar una acción apropiada en el contexto de tu sitio. Para proteger mejor tu sitio, te recomendamos que tomes medidas en segundo plano en lugar de bloquear el tráfico.

En la siguiente tabla, se enumeran algunas de las acciones que puedes realizar:

Caso de uso	Acción
página principal	Vea una vista coherente de su tráfico en la consola del administrador mientras filtra los rastreadores.
login	Con puntuaciones bajas, requiere MFA o verificación por correo electrónico para evitar ataques de uso excesivo de credenciales.
sociales,	Limite las solicitudes de amistad sin respuesta de usuarios abusivos y envíe comentarios arriesgados en moderación.
Comercio electrónico	Prioriza tus ventas reales por sobre los bots e identifica las transacciones riesgosas.

Códigos de motivo

Los códigos de motivo están disponibles después de activar una revisión de seguridad automática agregando una cuenta de facturación a tu proyecto. Para solicitar acceso a los códigos de motivo, agrega una cuenta de facturación a tu proyecto.

Algunas puntuaciones pueden devolverse con códigos de motivo que proporcionan información adicional sobre cómo reCAPTCHA interpretó las interacciones.

En la siguiente tabla, se enumeran los códigos de motivo y sus descripciones:

Código del motivo	Descripción
AUTOMATION	La interacción coincide con el comportamiento de un agente automatizado.
UNEXPECTED_ENVIRONMENT	El evento se originó en un entorno ilegítimo.
TOO_MUCH_TRAFFIC	El volumen de tráfico que proviene de la fuente del evento es más alto de lo normal.
UNEXPECTED_USAGE_PATTERNS	La interacción con el sitio fue significativamente diferente a los patrones esperados.
LOW_CONFIDENCE_SCORE	El tráfico recibido del sitio fue demasiado poco como para generar un análisis de riesgo de calidad.

Respuesta del método siteverify

El método siteverify devuelve un objeto JSON que contiene los siguientes campos cuando se usa para crear una evaluación:

{
  "success": true|false,      // whether this request was a valid reCAPTCHA token for your site
  "score": number             // the score for this request (0.0 - 1.0)
  "action": string            // the action name for this request (important to verify)
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

¿Qué sigue?

Para ajustar el modelo específico de tu sitio, puedes enviar los IDs de evaluación a Google para confirmar los verdaderos positivos y los verdaderos negativos, o corregir errores. Para obtener más información, consulta Cómo anotar evaluaciones.