Crea claves de reCAPTCHA para sitios web

En esta página, se explica cómo crear claves de reCAPTCHA (también conocidas como claves) para verificar las interacciones del usuario en tus páginas web.

Las claves de reCAPTCHA representan cómo se configura reCAPTCHA Enterprise para un sitio web. La configuración incluye opciones importantes, como la opción de mostrar los desafíos de CAPTCHA.

Antes de comenzar

Crea una clave de reCAPTCHA

No hay límite en la cantidad de claves de reCAPTCHA que puedes crear para un proyecto de Google Cloud. Lo ideal es crear una clave de reCAPTCHA por sitio web.

Recomendamos crear claves de reCAPTCHA independientes para los entornos de etapa de pruebas y producción. De lo contrario, corres el riesgo de contaminar el análisis de riesgo de reCAPTCHA con datos de tu entorno de pruebas.

La forma más sencilla de crear una clave de reCAPTCHA es a través de la consola de Google Cloud. Como alternativa, puedes usar la API de reCAPTCHA Enterprise o Google Cloud CLI.

Console

  1. En la consola de Google Cloud, ve a la página reCAPTCHA Enterprise.

    Ir a reCAPTCHA Enterprise

  2. Verifica que el nombre de tu proyecto aparezca en el selector de recursos que se encuentra en la parte superior de la página.

    Si no ves el nombre de tu proyecto, haz clic en el selector de recursos y, luego, selecciona tu proyecto.

  3. Haz clic en Crear clave.

  4. En el campo Nombre visible (Display name), ingresa el nombre visible de la clave.

  5. En el menú Choose platform type, selecciona Website.

    Aparecerá la sección Lista de dominios.

  6. Ingresa el nombre de dominio de tu sitio web:

    1. En la sección Lista de dominios, haz clic en Agregar un dominio.

    2. En el campo Dominio, ingresa el nombre de tu dominio.

    3. Opcional: Para agregar un dominio adicional, haz clic en Agregar un dominio y, luego, ingresa el nombre de otro dominio en el campo Dominio. Puedes agregar hasta 250 dominios.

      En el caso de los sitios web, la clave de reCAPTCHA es única para los dominios y subdominios que especifiques. Puedes especificar más de un dominio si entregas tu sitio web desde varios dominios. Si especificas un dominio (por ejemplo, examplepetstore.com), no es necesario que especifiques sus subdominios (por ejemplo, subdomain.examplepetstore.com).

      Para usar una clave en más de 250 dominios, haz clic en el botón de activación Inhabilitar verificación del dominio. reCAPTCHA Enterprise ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campo tokenProperties.hostname en las evaluaciones que crees.

  7. Según el tipo de clave de reCAPTCHA que desees crear para tu sitio web, realiza la acción correspondiente:

    8. Crea claves de reCAPTCHA basadas en puntuaciones

    1. Opcional: Si deseas inhabilitar la verificación del dominio o permitir las páginas de AMP, expande la sección Firewall de aplicación web (WAF), verificación del dominio, páginas de AMP y desafío.
      1. Para proteger la clave reCAPTCHA de tu dominio y tus subdominios, asegúrate de que la opción Inhabilitar la verificación del dominio esté desactivada.

        Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

      2. Si quieres permitir que la clave basada en puntuaciones funcione con Accelerated Mobile Pages (AMP), activa el botón de activación Permitir que esta clave funcione con páginas de AMP.

      3. En el entorno que no es de producción, si deseas especificar una puntuación que quieres que muestre la clave cuando se creen evaluaciones para él, haz lo siguiente:

        1. Haz clic en el botón de activación Esta es una clave de prueba.
        2. En el cuadro Score, especifica una puntuación entre 0 y 1.0.
      4. Haz clic en Crear clave.

      La nueva clave aparecerá en la página de claves de reCAPTCHA.

    Crear claves de reCAPTCHA con casillas de verificación

    1. Expande la sección Firewall de aplicación web (WAF), verificación de dominio, páginas de AMP y desafío.
    2. Para proteger la clave reCAPTCHA de tu dominio y tus subdominios, asegúrate de que la opción Inhabilitar la verificación del dominio esté desactivada.

      Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

    3. Activa el botón de activación Usar el desafío de la casilla de verificación.
    4. Selecciona la opción de seguridad del desafío adecuada.

      La opción de seguridad del desafío controla la probabilidad de que se solicite a un usuario un desafío secundario en el que se le solicita que seleccione imágenes según una categoría identificada (por ejemplo, seleccione las imágenes con una motocicleta o escaleras).

      Si deseas garantizar la mejor protección contra fraudes, selecciona Dificultad más fuerte (más seguro contra bots).

      Si seleccionas Dificultad del desafío más fácil, es menos probable que se solicite a los usuarios el desafío visual.

    5. En el entorno que no es de producción, si deseas especificar una puntuación que quieres que muestre la clave cuando se creen evaluaciones para él, haz lo siguiente:

      1. Haz clic en el botón de activación Esta es una clave de prueba.
      2. En el cuadro Score, especifica una puntuación entre 0 y 1.0.
      3. Selecciona la opción correspondiente en Tipo de desafío (Challenge type).
        • Auto presenta el desafío a veces.
        • La opción Sin CAPTCHA no indica ningún desafío.
        • Desafío que no se puede resolver muestra las imágenes, pero el desafío no se aprobó.
      4. Haz clic en Crear clave.

      La nueva clave aparecerá en la página de claves de reCAPTCHA.

gcloud

Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
  • INTEGRATION_TYPE: Tipo de integración. Según el tipo de claves, especifica los siguientes valores:
    • score para claves basadas en puntuaciones.
    • checkbox para las teclas de casilla de verificación
  • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave.

    Especifica varios dominios en una lista separada por comas.

    Si deseas usar una clave en más de 250 dominios, especifica --allow-all-domains para inhabilitar la verificación del dominio. reCAPTCHA Enterprise ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campo tokenProperties.hostname en las evaluaciones que crees.

    Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

Ejecuta el comando gcloud recaptcha keys create:

Linux, macOS o Cloud Shell


gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)


gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)


gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

La respuesta contiene la clave de reCAPTCHA recién creada.

REST

Para obtener información de referencia de la API sobre tipos de claves y tipos de integración, consulta Clave y Tipo de integración.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es un nombre de sitio.
  • INTEGRATION_TYPE: Tipo de integración. Según el tipo de claves, especifica los siguientes valores:
    • score para claves basadas en puntuaciones.
    • checkbox para las teclas de casilla de verificación
  • DOMAIN_NAME: Son dominios o subdominios de sitios web que pueden usar la clave.

    Especifica varios dominios en una lista separada por comas.

    Si deseas usar una clave en más de 250 dominios, especifica --allow-all-domains para inhabilitar la verificación del dominio. reCAPTCHA Enterprise ignorará la lista de dominios. Debes realizar la verificación del dominio por tu cuenta. Para ello, examina el campo tokenProperties.hostname en las evaluaciones que crees.

    Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

Método HTTP y URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Cuerpo JSON de la solicitud: 


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

Busca una clave secreta de reCAPTCHA heredada (opcional)

Si quieres realizar la integración en una aplicación de terceros que usa la versión de reCAPTCHA para empresas, necesitas la clave secreta heredada.

Por cada clave de sitio que crees, reCAPTCHA Enterprise crea una clave secreta de reCAPTCHA heredada (clave secreta heredada), que puedes usar con tu aplicación de terceros.

Para encontrar la clave secreta heredada, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página reCAPTCHA Enterprise.

    Ir a reCAPTCHA Enterprise

  2. En la sección Enterprise Keys, busca la clave reCAPTCHA que creaste y haz clic en ella.

  3. En la página Detalles de la clave, en la pestaña Integración, haz clic en Usar clave heredada. Se abrirá un cuadro de diálogo con instrucciones para usar la clave secreta heredada.

¿Qué sigue?