¿Qué es reCAPTCHA?
CAPTCHA significa Completely Automated Public Turing test to say Computers and Humans Apart. Un CAPTCHA protege los sitios web del spam y los bots pidiéndoles a los usuarios de Internet que completen una prueba diseñada para ser fácil para una persona real, pero difícil para una cuenta de bot automatizada. Los CAPTCHA proporcionan verificación y seguridad a los sitios web, aplicaciones y otros servicios electrónicos.
reCAPTCHA de Google hace más que solo demostrar que eres una persona real. También puede frustrar tácticas maliciosas, por ejemplo, la reutilización de credenciales robadas, o credential stuffing, una práctica en la que los piratas informáticos emplean listas de nombres de cuentas y contraseñas comprometidas para intentar acceder a tus cuentas de usuario en otros sitios.
La historia de reCAPTCHA
reCAPTCHA se diseñó en 2007 como una herramienta para digitalizar libros. Se mostraba texto a personas que las computadoras no podían reconocer y se les pedía que escribieran lo que veían. En 2009, Google adquirió reCAPTCHA y comenzó a usarlo para mejorar la seguridad en Internet. Hoy en día, se usa ampliamente en la verificación para protegerte del spam y los bots, y es una herramienta importante para mantener la seguridad e integridad de los sistemas en línea.
reCAPTCHA, v2, v3, ¿cuál es la diferencia?
reCAPTCHA emplea el reconocimiento de imágenes, el reconocimiento de audio, el análisis de comportamiento y el aprendizaje automático para determinar si el usuario es humano o no. Es el servicio más popular: está instalado en millones de sitios y tiene más del 97 % de participación de mercado.
Actualmente, hay dos versiones de reCAPTCHA:
- ReCAPTCHA v2 requiere que los usuarios resuelvan un desafío o que den clic en una casilla de verificación. Permite a los propietarios de sitios web personalizar el aspecto y el comportamiento del desafío.
- reCAPTCHA v3 funciona en segundo plano y no requiere ninguna interacción. Genera un puntaje basado en factores como el comportamiento del usuario, la hora del día y otra información contextual.
Cómo funciona reCAPTCHA
Un sitio que usa reCAPTCHA incluye un pequeño fragmento de código (o "script") que maneja el proceso de desafío y respuesta. Cuando alguien interactúa con el desafío, reCAPTCHA recopila datos sobre su comportamiento, como las pulsaciones del teclado, el movimiento y el tiempo del ratón y el historial de navegación.
El script se comunica con el servidor de Google mediante una clave secreta para cifrar la comunicación. La clave secreta es única para cada sitio web y se genera cuando el propietario del sitio web configura reCAPTCHA.
Los algoritmos de Google comparan los datos con el comportamiento conocido humano y de bots, y pueden pedirte que completes desafíos adicionales o bloquear tu acceso.
Inteligencia artificial (IA) y reconocimiento de patrones
La tecnología reCAPTCHA hace uso de la IA para hacer un análisis de riesgos avanzado con cada nuevo usuario del sitio, evaluando aspectos como la dirección IP, la información del navegador y del dispositivo, y el comportamiento de navegación anterior. A continuación, reCAPTCHA asigna un puntaje de riesgo. Un puntaje de riesgo bajo indica una alta probabilidad de que el usuario sea humano, mientras que un puntaje de riesgo alto sugiere que puede ser un bot. Si el programa sospecha que se trata de un bot o necesita más información, le pide al usuario que haga una prueba reCAPTCHA.
Tipos de pruebas de reCAPTCHA
Las pruebas de CAPTCHA se presentan en muchas formas y se han adaptado para ser más sofisticadas, más difíciles de engañar y menos intrusivas. El tipo de reCAPTCHA depende de varios factores, como la configuración de seguridad del sitio, el contexto y el tipo de actividad.
Texto
Al visitante del sitio web se le muestra una serie de letras y números que han sido distorsionados o parcialmente ocultados y se le pide que los escriba en la secuencia correcta.
Reconocimiento de imágenes
El usuario ve imágenes distorsionadas, recortadas o parcialmente ocultados y debe seleccionar aquellas que coincidan con una descripción específica; por ejemplo, imágenes que contengan señales de tráfico o vehículos.
Casilla de verificación
A veces llamado "no CAPTCHA reCAPTCHA", este método solo requiere que marques una casilla para confirmar que no eres un robot. Google emplea información de antecedentes, como tu dirección IP y los datos del navegador, para verificar que eres un usuario humano.
Evaluación del comportamiento del usuario
A menudo, no hay ninguna casilla de verificación ni desafío CAPTCHA. En esta versión "invisible", el sistema hace el proceso de verificación automáticamente y la casilla de verificación solo aparece si Google sospecha que podría estar tratando con un bot. Esto hace que la experiencia del usuario sea más fluida y menos intrusiva.
Pros y contras de reCAPTCHA
Es útil examinar los pros y los contras de reCAPTCHA para determinar si es adecuado para ti.
Pros
Mayor privacidad
Si bien reCAPTCHA está diseñado principalmente para mejorar la seguridad, también puede ayudar a mejorar la privacidad evitando el acceso no autorizado a información confidencial, como la información de contacto de tus clientes.
Limita usuarios falsos
No es ningún secreto cuánto fraude hay en Internet. El uso del servicio reCAPTCHA ayuda a garantizar que aquellos que puedan resolver el desafío reCAPTCHA sean probablemente los visitantes que quieres.
Filtra automáticamente los comentarios de los usuarios
Ofrecer a los clientes la posibilidad de dejar reseñas o comentarios en publicaciones en redes sociales puede ser una excelente manera de generar interacción con los clientes. Pero la detección manual de comentarios abusivos y spammers requiere mucho esfuerzo.
Servicio gratuito para pequeñas empresas
reCAPTCHA de Google es un servicio gratuito para cualquier persona con hasta un millón de controles de seguridad por mes. Para cuando se supera esa cantidad, Google lanzó reCAPTCHA Enterprise para ayudar a los clientes a gran escala a prevenir el spam y el abuso.
Inconvenientes
Interacción adicional del usuario
Quieres que la experiencia de tus visitantes sea lo más fácil y fluida posible, pero tener que resolver un desafío para la verificación agrega uno o dos pasos adicionales en su camino.
Desafíos de accesibilidad
Para las personas con discapacidad visual, los CAPTCHA pueden ser difíciles. Las últimas versiones incluyen una opción de audio que te permite escuchar un clip de audio y responder verbalmente.
Los buenos usuarios pueden ser marcados como sospechosos
Ningún sistema es perfecto. Cuando las personas son identificadas incorrectamente como bots, por ejemplo, pueden tener que pasar por pasos adicionales para avanzar o su acceso puede ser completamente bloqueado.
Favorece a los usuarios de Google
Aunque reCAPTCHA es propiedad de Google y está gestionado por esa empresa, puede ser empleado por cualquier sitio web o aplicación. Sin embargo, funciona determinando si tienes cookies de Google en tu navegador. De este modo, para cualquiera que haya iniciado sesión en una cuenta de Google, reCAPTCHA puede resultar más sencillo y sin fricciones que para quienes no son usuarios de Google.
Los bots están mejorando
Inevitablemente, los actores maliciosos siempre mejoran su capacidad para eludir los servicios de verificación. Aunque reCAPTCHA trabaja para mantenerse a la vanguardia de estos, ningún sistema es perfecto y los hackers creativos a veces encuentran la manera de abrirse paso.
Alternativas para usuarios de reCAPTCHA
Aunque el programa de Google tiene la mayor participación de mercado, no es el único programa que emplea la verificación CAPTCHA para proteger a los sitios web contra el fraude. Algunas otras opciones son:
- Akismet: si tu sitio está diseñado en WordPress, este complemento emplea algoritmos de aprendizaje automático para identificar y bloquear los comentarios spam en tu sitio web.
- BotDetect: como tecnología versátil de CAPTCHA, este programa te permite personalizar el desafío y el diseño del formulario de la manera que tenga más sentido para tus clientes.
- KeyCAPTCHA: esta tecnología CAPTCHA utiliza rompecabezas interactivos para verificar la identidad en lugar del reconocimiento tradicional de letras y números.
- hCaptcha: este es un programa desarrollado para ser más accesible para personas con discapacidades. Incluye una variedad de desafíos, por ejemplo, reconocimiento de imágenes, reconocimiento de audio y rompecabezas interactivos. También admite varios idiomas.
Consejos para propietarios de sitios web
Si reCAPTCHA te parece la opción adecuada, sigue leyendo para obtener algunos consejos sobre cómo ponerlo en práctica. Google proporciona una página de soporte de reCAPTCHA por si tienes alguna pregunta o te encuentras con algún problema.
Cuándo usar reCAPTCHA
reCAPTCHA puede proteger tu sitio del spam y el abuso, y garantizar a los clientes legítimos que sus datos están seguros. Estas son algunas de las ocasiones en las que reCAPTCHA te puede resultar útil:
- Registro: si permites que se creen cuentas en tu sitio web, reCAPTCHA puede ayudar a evitar que los usuarios automatizados abusen y agreguen spam en tu sistema. Aprende a usar reCAPTCHA para formularios de registro en tu sitio de Mailchimp.
- Formularios de contacto: evitar el spam te da más tiempo para responder a los mensajes legítimos.
- Páginas de inicio de sesión: evita que los hackers intenten adivinar tus contraseñas o hagan otros tipos de ataques.
- Transacciones de e-commerce: los CAPTCHA pueden ayudar a detener transacciones fraudulentas o el scraping de datos de tus productos.
Cómo instalar reCAPTCHA
Estas son las instrucciones para instalar reCAPTCHA en tu sitio:
- Suscríbete para obtener una clave de interfaz de programación de aplicaciones (API) visitando el sitio web de Google reCAPTCHA, creando una nueva cuenta y especificando los dominios de Internet donde usarás el servicio.
- Elige la versión de reCAPTCHA (v2 o v3) que se ajuste a tus necesidades.
- Integra el código reCAPTCHA en tu sitio o aplicación. Esto generalmente implica agregar código JavaScript a tus páginas web y modificar cualquier script de envío de formularios relevante para incluir la validación reCAPTCHA.
- Usa el sitio de prueba de reCAPTCHA para probar tu integración y asegurarte de que tus formularios se validen correctamente.
Puedes encontrar documentación detallada y tutoriales en el sitio web de Google reCAPTCHA para ayudarte con el proceso de integración.
Cómo actualizar reCAPTCHA
Mantener actualizado tu programa de seguridad es importante. Puedes:
- Comprueba tu versión de reCAPTCHA consultando el código fuente de tu sitio. Puede que sea el momento de actualizar si estás usando una versión anterior.
- Reemplaza el código antiguo con el código actualizado, que puedes encontrar en el sitio web de reCAPTCHA junto con las instrucciones para la implementación.
El futuro de los CAPTCHA
Como cualquier programa informático diseñado para proteger contra el abuso, reCAPTCHA siempre debe estar un paso por delante de los actores maliciosos y los bots avanzados. Estas son algunas formas en las que puedes ver que se emplea la tecnología CAPTCHA en el futuro:
- Expansión a otros dispositivos y plataformas: con la seguridad como una preocupación cada vez mayor, los desafíos CAPTCHA pueden volverse más comunes en dispositivos portátiles o de uso doméstico inteligentes.
- Más invisibilidad: la casilla de verificación puede ser una cosa del pasado. Es probable que los futuros CAPTCHA operen en segundo plano, sin requerir que quienes visitan el sitio envíen sus respuestas a un desafío de seguridad.
- Mejoras de accesibilidad: además de una versión de audio, los futuros servicios de CAPTCHA podrían incluir métodos de ingreso alternativos, más soporte para lectores de pantalla u otras tecnologías.
Si reCAPTCHA te parece la solución adecuada para ti, suscríbete al servicio reCAPTCHA gratuito de Google para tu pequeña empresa o consulta otros proveedores de CAPTCHA para proteger tu sitio web de hackers, bots y cuentas automatizadas.