Crea claves de reCAPTCHA para sitios web

En esta página, se explica cómo crear claves de reCAPTCHA (también conocidas como claves) para verificar las interacciones de los usuarios en tus páginas web.

Las claves de reCAPTCHA representan cómo reCAPTCHA se configura para un sitio web. La configuración incluye opciones importantes, como si se deben mostrar desafíos de CAPTCHA.

Antes de comenzar

Crea una clave de reCAPTCHA

No hay límite para la cantidad de claves de reCAPTCHA que puedes crear en un proyecto de Google Cloud. Es mejor crear una clave de reCAPTCHA por sitio web.

Recomendamos crear claves de reCAPTCHA independientes para los entornos de etapa de pruebas y producción. De lo contrario, corres el riesgo de contaminar el análisis de riesgos de reCAPTCHA con datos del entorno de pruebas.

La forma más sencilla de crear una clave de reCAPTCHA es a través de la consola de Google Cloud. Como alternativa, puedes usar la API de reCAPTCHA o Google Cloud CLI.

Console

  1. En la consola de Google Cloud, ve a la página reCAPTCHA.

    Ir a reCAPTCHA

  2. Verifica que el nombre de tu proyecto aparezca en el selector de recursos en la parte superior de la página.

    Si no ves el nombre de tu proyecto, haz clic en el selector de recursos y, luego, elige tu proyecto.

  3. Haz clic en Crear clave.

  4. En el campo Nombre visible, ingresa un nombre visible para la clave.

  5. En el menú Choose platform type, selecciona Website (Sitio web).

    Aparecerá la sección Lista de dominios.

  6. Ingresa el nombre de dominio para tu sitio web:

    1. En la sección Lista de dominios, haz clic en Agregar un dominio.

    2. En el campo Dominio, ingresa el nombre de tu dominio.

    3. Opcional: Para agregar un dominio adicional, haz clic en Agregar un dominio y, luego, ingresa el nombre de otro en el campo Dominio. Puedes agregar hasta 250 dominios.

      En el caso de los sitios web, la clave de reCAPTCHA es única para los dominios y subdominios que especifiques. Puedes especificar más de un dominio si publicas tu sitio web desde varios dominios. Si especificas un dominio (por ejemplo, examplepetstore.com), no es necesario que especifiques sus subdominios (por ejemplo, subdomain.examplepetstore.com).

      Para usar una clave en más de 250 dominios, haz clic en el botón de activación Inhabilitar la verificación del dominio. reCAPTCHA ignorará la lista de dominios. Examina el campo tokenProperties.hostname en las evaluaciones que crees para realizar la verificación del dominio por tu cuenta.

  7. Según el tipo de clave de reCAPTCHA que quieras crear para tu sitio web, realiza las siguientes acciones:

    8. Crea claves de reCAPTCHA basadas en puntuaciones

    1. Opcional: Si quieres inhabilitar la verificación del dominio o permitir las páginas de AMP, expande la sección Firewall de aplicación web (WAF), Verificación del dominio, páginas de AMP y desafío.
      1. Si quieres proteger la clave reCAPTCHA para el dominio y los subdominios, asegúrate de que la opción Inhabilitar la verificación del dominio esté desactivada.

        Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

      2. Si quieres permitir que la clave basada en la puntuación funcione con Accelerated Mobile Pages (AMP), activa el botón Permitir que esta clave funcione con las páginas de AMP.

      3. En el caso de tu entorno que no es de producción, si deseas especificar una puntuación que deseas que muestre la clave cuando se cree una evaluación para él, haz lo siguiente:

        1. Haz clic en el botón de activación Esta es una clave de prueba.
        2. En el cuadro Puntuación, especifica una puntuación entre 0 y 1.0.
      4. Haz clic en Crear clave.

      La clave nueva aparecerá en la página Claves de reCAPTCHA.

    Crea claves de reCAPTCHA de la casilla de verificación

    1. Expande la sección Firewall de aplicación web (WAF), Verificación de dominio, páginas de AMP y desafío.
    2. Si quieres proteger la clave reCAPTCHA para el dominio y los subdominios, asegúrate de que la opción Inhabilitar la verificación del dominio esté desactivada.

      Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

    3. Activa el botón de activación Usar el desafío de la casilla de verificación.
    4. Selecciona la opción correspondiente de Desafío de seguridad.

      La opción de seguridad del desafío controla la probabilidad de que se solicite a un usuario un desafío secundario en el que se le solicita que seleccione imágenes según una categoría identificada (por ejemplo, seleccione las imágenes con una motocicleta o escaleras).

      Si quieres garantizar la mejor protección contra fraudes, selecciona Dificultad más difícil (más seguro contra los bots).

      Si seleccionas Dificultad mínima del desafío, es menos probable que se les solicite a los usuarios el desafío visual.

    5. En el caso de tu entorno que no es de producción, si deseas especificar una puntuación que deseas que muestre la clave cuando se cree una evaluación para él, haz lo siguiente:

      1. Haz clic en el botón de activación Esta es una clave de prueba.
      2. En el cuadro Puntuación, especifica una puntuación entre 0 y 1.0.
      3. Selecciona la opción de Challenge type adecuada.
        • En ocasiones, el desafío aparece en Automático.
        • Ningún CAPTCHA no muestra un desafío.
        • En Desafío que no se puede resolver, se muestran las imágenes, pero el desafío no se aprobó.
      4. Haz clic en Crear clave.

      La clave nueva aparecerá en la página Claves de reCAPTCHA.

gcloud

Para crear claves de reCAPTCHA, usa el comando gcloud recaptcha keys create.

Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

  • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
  • INTEGRATION_TYPE: Tipo de integración. Según el tipo de claves, especifica los siguientes valores:
    • score para claves basadas en la puntuación.
    • checkbox para las claves de casilla de verificación
  • DOMAIN_NAME: Dominios o subdominios de sitios web que tienen permitido usar la clave.

    Especifica varios dominios en una lista separada por comas.

    Para usar una clave en más de 250 dominios, especifica --allow-all-domains para inhabilitar la verificación del dominio. reCAPTCHA ignorará la lista de dominios. Examina el campo tokenProperties.hostname en las evaluaciones que crees para realizar la verificación del dominio por tu cuenta.

    Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

Ejecuta el comando gcloud recaptcha keys create:

Linux, macOS o Cloud Shell


gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)


gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)


gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

La respuesta contiene la clave de reCAPTCHA recién creada.

REST

Para obtener información de referencia de la API sobre los tipos de claves y de integración, consulta Clave y Tipo de integración.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • DISPLAY_NAME: Es el nombre de la clave. Por lo general, es el nombre de un sitio.
  • INTEGRATION_TYPE: Tipo de integración. Según el tipo de claves, especifica los siguientes valores:
    • score para claves basadas en la puntuación.
    • checkbox para las claves de casilla de verificación
  • DOMAIN_NAME: Dominios o subdominios de sitios web que tienen permitido usar la clave.

    Especifica varios dominios en una lista separada por comas.

    Para usar una clave en más de 250 dominios, especifica --allow-all-domains para inhabilitar la verificación del dominio. reCAPTCHA ignorará la lista de dominios. Examina el campo tokenProperties.hostname en las evaluaciones que crees para realizar la verificación del dominio por tu cuenta.

    Inhabilitar la verificación del dominio es un riesgo de seguridad porque no hay restricciones en el sitio, por lo que cualquier persona puede acceder a tu clave de reCAPTCHA y usarla.

Método HTTP y URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

Cuerpo JSON de la solicitud: 


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Para enviar tu solicitud, elige una de estas opciones:

curl

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

Busca una clave secreta de reCAPTCHA heredada (opcional)

Si deseas realizar la integración en una aplicación de terceros que usa la versión no empresarial de reCAPTCHA, necesitas la clave secreta heredada.

Por cada clave de sitio que creas, reCAPTCHA crea una clave secreta de reCAPTCHA heredada (clave secreta heredada) que puedes usar con tu aplicación de terceros.

Para encontrar la clave secreta heredada, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página reCAPTCHA.

    Ir a reCAPTCHA

  2. En la sección Claves empresariales, busca la clave de reCAPTCHA que creaste y haz clic en ella.

  3. En la página Detalles de la clave, en la pestaña Integración, haz clic en Usar clave heredada. Se abrirá un diálogo con instrucciones para usar la clave secreta heredada.

¿Qué sigue?