Saltar al contenido principal

CAPTCHA - Distinguiendo humanos de bots

Lectura de 2 min aprox.

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) es una prueba de autenticación diseñada para determinar si quien accede es un humano o un bot. Al implementarlo en formularios de inicio de sesión y páginas de registro, frena ataques automatizados como el relleno de credenciales y los ataques de fuerza bruta. En 2025, el «CAPTCHA invisible», que no requiere ninguna interacción del usuario, se está convirtiendo en el estándar.

Casos de uso reales

«Nuestro formulario de registro fue atacado por bots que creaban enormes cantidades de cuentas de spam. Tras implementar reCAPTCHA v3 y bloquear las solicitudes con una puntuación inferior a 0,5, los registros de spam se redujeron en un 98 %. Como a los usuarios legítimos nunca se les mostró un desafío CAPTCHA, no hubo impacto en la tasa de conversión.»

La evolución de CAPTCHA

Los primeros CAPTCHA exigían leer imágenes de texto distorsionado, pero los avances en la tecnología OCR fueron facilitando su superación. reCAPTCHA v2 combina una casilla de «No soy un robot» con tareas de selección de imágenes, mientras que reCAPTCHA v3 puntúa los patrones de comportamiento del usuario (movimiento del ratón, velocidad de desplazamiento, tiempo de permanencia en la página) y emite su veredicto en segundo plano. hCaptcha está ganando adopción como un servicio alternativo respetuoso con la privacidad.libros sobre medidas contra bots (Amazon) permiten aprender de forma sistemática.

Consideraciones para la implementación

CAPTCHA es un equilibrio entre la seguridad y la experiencia del usuario. Un CAPTCHA excesivamente difícil reduce las tasas de conversión y se convierte en una barrera de accesibilidad para los usuarios con discapacidad visual. Al ofrecer CAPTCHA de audio o adoptar métodos basados en puntuación, se puede minimizar la carga sobre los usuarios manteniendo la eficacia defensiva. Al combinar la limitación de tasa con CAPTCHA, también es posible diseñar un sistema que no muestre ningún CAPTCHA a los usuarios normales y que solo lo exija a los bots que envían grandes cantidades de solicitudes en poco tiempo. En la defensa contra el relleno de credenciales, CAPTCHA es una de las medidas defensivas importantes.

Las limitaciones de CAPTCHA

Debido a los servicios de resolución de CAPTCHA (servicios en los que humanos resuelven manualmente los CAPTCHA en tu lugar) y a los avances en el reconocimiento de imágenes, CAPTCHA por sí solo tiene sus límites como defensa. Combina las contraseñas robustas generadas en passtsuku.com con CAPTCHA para construir una defensa por capas.libros sobre seguridad de autenticación (Amazon) también son una referencia útil.

Términos relacionados

¿Te resultó útil este artículo?

XHatena