En esta página, se explica cómo interpretar una puntuación para comprender el nivel de riesgo que representan las interacciones de los usuarios y tomar las medidas adecuadas para tu sitio.
reCAPTCHA muestra una puntuación para cada solicitud según las interacciones con tu sitio, independientemente del tipo de clave. Después de recibir la puntuación de reCAPTCHA, debes interpretarla y tomar las medidas adecuadas para tu sitio.
Antes de comenzar
Crea una evaluación para tu sitio web.
Interpreta la evaluación
Después de que tu backend envía el token de respuesta reCAPTCHA de un usuario a reCAPTCHA, recibes una evaluación como una respuesta JSON, como se muestra en el siguiente ejemplo.
Para interpretar una evaluación, considera los siguientes parámetros:
valid: Indica si el token de respuesta del usuario proporcionado es válido. Cuando esvalid = false, el motivo se especifica eninvalidReason.valid = falsetambién puede indicar que un usuario no pudo resolver un desafío o que hay una discrepancia desiteKey.invalidReason: Es el motivo asociado con la respuesta cuandovalid = false.action: Una interacción del usuario que activó la verificación de reCAPTCHA.expectedAction: Es la acción esperada de un usuario que especificaste cuando creaste la evaluación.score: Es el nivel de riesgo que representa la interacción del usuario.reasons: Información adicional sobre cómo reCAPTCHA interpretó la interacción del usuario.{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
Verifica las acciones
La respuesta JSON contiene el parámetro action que especificaste para una interacción del usuario cuando llamaste a execute() y el parámetro expectedAction que especificaste cuando creaste la evaluación.
Verifica que action coincida con expectedAction.
Por ejemplo, se debe mostrar una acción login en tu página de acceso.
Si hay una discrepancia, significa que un atacante está intentando falsificar acciones. Puedes realizar acciones contra la interacción del usuario, como agregar verificaciones adicionales o bloquear la interacción para evitar actividades fraudulentas.
Interpretar las puntuaciones
El sistema de puntuación de reCAPTCHA es una expansión de versiones anteriores de reCAPTCHA para permitir una mayor granularidad en las respuestas. reCAPTCHA tiene 11 niveles para las puntuaciones con valores que van de 0.0 a 1.0. La puntuación de 1.0 indica que la interacción representa un riesgo bajo y es muy probable que sea legítima, mientras que la de 0.0 indica que la interacción representa un riesgo alto y podría ser fraudulenta. De los 11 niveles, solo los siguientes cuatro niveles de puntuación están disponibles antes de activar una revisión de seguridad automática agregando una cuenta de facturación a tu proyecto: 0.1, 0.3, 0.7 y 0.9.
Para solicitar acceso a los 11 niveles de puntuación, agrega una cuenta de facturación a tu proyecto.
reCAPTCHA aprende a partir de la supervisión del tráfico real en tu sitio. Por lo tanto, los puntajes en un entorno de etapa de pruebas y dentro de los 7 días posteriores a la implementación pueden diferir de los puntajes a largo plazo de la producción.
Si instalaste claves basadas en puntuaciones, primero puedes ejecutar reCAPTCHA sin tomar medidas y, luego, decidir los umbrales mediante la observación del tráfico.
Según la puntuación, puedes tomar las medidas adecuadas en el contexto de tu sitio. Para proteger mejor tu sitio, te recomendamos que tomes las medidas en segundo plano en lugar de bloquear el tráfico.
En la siguiente tabla, se enumeran algunas de las acciones que puedes realizar:
| Caso de uso | Acción |
|---|---|
| página principal | Vea una vista coherente de su tráfico en la consola del administrador mientras filtra los rastreadores. |
| login | Con puntuaciones bajas, requiere MFA o verificación por correo electrónico para evitar ataques de uso excesivo de credenciales. |
| sociales, | Limite las solicitudes de amistad sin respuesta de usuarios abusivos y envíe comentarios arriesgados en moderación. |
| Comercio electrónico | Prioriza tus ventas reales sobre los bots y, además, identifica las transacciones riesgosas. |
Códigos de motivo
Los códigos de motivo estarán disponibles después de activar una revisión de seguridad automática cuando agregues una cuenta de facturación a tu proyecto. Para solicitar acceso a los códigos de motivo, agrega una cuenta de facturación a tu proyecto.
Es posible que algunas puntuaciones se muestren con códigos de motivo que proporcionan información adicional sobre cómo reCAPTCHA interpretó las interacciones.
En la siguiente tabla, se enumeran los códigos de motivo y sus descripciones:
| Código del motivo | Descripción |
|---|---|
| AUTOMATION | La interacción coincide con el comportamiento de un agente automatizado. |
| UNEXPECTED_ENVIRONMENT | El evento se originó en un entorno no autorizado. |
| TOO_MUCH_TRAFFIC | El volumen de tráfico que proviene de la fuente del evento es más alto de lo normal. |
| UNEXPECTED_USAGE_PATTERNS | La interacción con tu sitio fue significativamente diferente a los patrones esperados. |
| LOW_CONFIDENCE_SCORE | El tráfico recibido de este sitio es demasiado poco como para generar un análisis de riesgo de calidad. |
¿Qué sigue?
- Para ajustar el modelo específico de tu sitio, puedes enviar los IDs de evaluación a Google para confirmar los verdaderos positivos y negativos, o corregir errores. Para obtener más información, consulta Cómo anotar evaluaciones.