¿Qué son CAPTCHA y reCAPTCHA?

CAPTCHA es una abreviatura bastante larga, es casi una frase entera: Prueba de Turing Pública Completamente Automatizada para Diferenciar Ordenadores y Humanos.
Popularmente se conoce simplemente como CAPTCHA.
En términos sencillos, es una prueba para distinguir a los robots de las personas.

Hay muchos tipos de CAPTCHA: texto distorsionado, operaciones matemáticas, rompecabezas, preguntas, etc.
En la mayoría de los casos, esas pruebas no son difíciles para las personas, pero para los robots, hasta hace poco, eran casi insuperables.

¿Para qué sirve el CAPTCHA?

Para comprender la finalidad de los CAPTCHA, debes entender por qué algunos robots malintencionados visitan los sitios web.
De hecho, los objetivos de quienes los envían pueden ser diferentes:

Ataques DDoS. Un método fácil para colapsar un sitio web.
Para ello, se envían un montón de peticiones desde distintas fuentes, que el servidor es incapaz de procesar.
Como resultado, el recurso se bloquea y se vuelve inaccesible para los usuarios.

Ataques de fuerza bruta. Se trata de un intento de piratear un sitio web adivinando un nombre de usuario y una contraseña.
Los programas especiales pueden probar diferentes combinaciones indefinidamente.
Los sitios que se gestionan a través de un CMS de código abierto como WordPress o Joomla! son especialmente a menudo objeto de este tipo de ataques: la dirección de la página de acceso al panel de administración es estándar por defecto, por lo que es bien conocida por los estafadores.

Spam. Cuando lanzas un sitio, al cabo de un tiempo aparecen montones de enlaces de spammers en los comentarios.
Si no controlas eso, el sitio puede convertirse en un vertedero de enlaces y ser filtrado por los motores de búsqueda.

Fraude en el comercio electrónico. Muchas tiendas online tienen promociones en las que puedes comprar algunos productos por tiempo limitado.
Puede tratarse, por ejemplo, de una colección limitada o de una novedad de un fabricante de tecnología innovadora a un precio reducido.
En tales situaciones, entran en juego bots capaces de realizar muchas operaciones en pocos segundos, comprando todo el lote de productos y no dejando ninguna oportunidad a los demás.

Robo de datos. Recopilar información de sitios web se denomina scraping.
Lo hacen principalmente las grandes tiendas online, los agregadores y los especialistas en SEO que estudian el entorno competitivo o quieren llenar automáticamente las páginas de los sitios promocionados con contenido ajeno.
El scraping no suele dañar el recurso, pero puede sobrecargar la cuenta de alojamiento en la que se encuentra el sitio.
Es casi imposible protegerse de esto, CAPTCHA no puede ayudar.
En la práctica, CAPTCHA suele ayudar sólo en el caso de abusos y no de formas inteligentes de raspar sitios web.

Diferentes tipos de CAPTCHA

CAPTCHA se inventó hace 20 años e inicialmente mostró una gran eficacia en la lucha contra los robots.
Sin embargo, con el desarrollo de la inteligencia artificial, el método perdió algo de eficacia.
Actualmente, existen varias tecnologías y extensiones de navegador que permiten eludirlo.
Si las tareas son demasiado difíciles para el robot, se encomiendan a personas reales de servicios especializados.
Hoy en día, si conseguir hacer algo es superimportante, el CAPTCHA no es un obstáculo.

Sin embargo, es importante tener en cuenta que los desarrolladores de CAPTCHA también mejoran su tecnología.
Algunas empresas crean CAPTCHAs propios, pero la mayoría utiliza soluciones ya preparadas.
La opción más utilizada es el reCAPTCHA de Google.

En 2014, el motor de búsqueda lanzó una versión mejorada, reCAPTCHA v2.
Los propietarios de sitios web siguen utilizándola activamente.
Si el usuario no levanta sospechas en el programa, sólo tiene que marcar una casilla para confirmar su humanidad.
De lo contrario, aparece una búsqueda que puede causar muchos problemas a un usuario real si el programa comete un error, y esto ocurre a menudo.

Un ejemplo de reCAPTCHA

Como esta versión de CAPTCHA resultó no ser tan fácil de usar, el buscador ofreció una versión mejorada, reCAPTCHA v3.
Es invisible para los usuarios y no les obliga a resolver los enigmas.
En su lugar, supervisa constantemente las acciones de los usuarios, las evalúa y luego llega a un veredicto sobre si se trata de un robot o de una persona.

Eficacia

Muchos sitios siguen utilizando CAPTCHA.
A pesar de que su eficacia no es del 100%, este método de lucha contra el tráfico falso es sencillo y gratuito.
Sin embargo, tiene dos inconvenientes importantes:

  • Inconveniente para los usuarios

Las tareas aparentemente sencillas de CAPTCHA cuestan a la gente tiempo y energía extra.
Hace unos años, un estudio confirmó el impacto negativo de CAPTCHA en las conversiones.

  • Afecta al rendimiento del sitio

El uso de widgets de terceros (como Google reCAPTCHA) provoca una disminución de la velocidad de carga del sitio.
El impacto en la velocidad puede no ser muy crítico, pero es extremadamente importante habilitar el widget sólo en aquellas páginas en las que sea realmente necesario.

Recaptcha oculto

El reCAPTCHA oculto o invisible es un CAPTCHA que permite la validación en segundo plano de las acciones de los usuarios en el sitio.
El reCAPTCHA invisible permite a los usuarios realizar cualquier acción en el sitio inmediatamente sin introducir el CAPTCHA.
Sólo las acciones más sospechosas de los usuarios les impedirán seguir pasando.
Si las acciones de los usuarios se consideran sospechosas, reCAPTCHA invisible les ofrecerá resolver el CAPTCHA para determinar si esta operación la realiza realmente una persona y no un robot.

El reCAPTCHA oculto tiene la ventaja de no hacer perder el tiempo a los usuarios ni molestarles.

Usar CAPTCHA con sitios WordPress

Hay muchos plugins de WordPress con varias opciones de CAPTCHA, desde simples acciones matemáticas hasta preguntas que utilizan la lógica.
En la mayoría de los casos, es mejor elegir la opción más sencilla y eficaz, es decir, el CAPTCHA oculto de Google.
Hay varios plugins que puedes utilizar para conectarlo y configurarlo, el más sencillo y versátil es
reCAPTCHA invisible.

CAPTCHA de Cloudflare

Una de las características más destacables de Cloudflare es su protección contra los robots de denegación de servicio distribuido (DDoS).
DDoS es un tipo de ciberataque cuyo objetivo es interrumpir la disponibilidad de un sitio web inundando la red con muchas peticiones diferentes en un breve periodo de tiempo.
Estas peticiones maliciosas se propagan a través de múltiples ubicaciones y redes, lo que dificulta al administrador de un sitio bloquear el tráfico entrante de una sola fuente.

Cloudflare protege contra los ataques DDoS bloqueando automáticamente el tráfico sospechoso, especialmente el que puede proceder de una fuente no humana.
Cuando Cloudflare ve una nueva dirección IP desconocida o extraña realizando una solicitud en un sitio, la marca y solicita un CAPTCHA antes de permitir la solicitud.