En esta página, se explica cómo interpretar una puntuación para comprender el nivel de riesgo que representan las interacciones de los usuarios y tomar las medidas adecuadas para tu aplicación para dispositivos móviles.
reCAPTCHA muestra una puntuación para cada solicitud en función de las interacciones con tu aplicación para dispositivos móviles. Después de recibir la puntuación de reCAPTCHA, debes interpretarla y tomar las medidas adecuadas para tu aplicación para dispositivos móviles.
Antes de comenzar
Crea una evaluación para tu aplicación para dispositivos móviles.
Interpreta la evaluación
Después de que tu backend envíe el token de respuesta reCAPTCHA de un usuario a reCAPTCHA, recibirás una evaluación como respuesta JSON, como se muestra en el siguiente ejemplo.
Para interpretar una evaluación, ten en cuenta los siguientes parámetros:
valid: Indica si el token de respuesta del usuario proporcionado es válido. Cuandovalid = false, el motivo se especifica eninvalidReason.valid = falsetambién puede indicar que un usuario no pudo resolver un desafío o que hay una falta de coincidencia desitekey.invalidReason: Es el motivo asociado con la respuesta cuandovalid = false.action: Es una interacción del usuario que activó la verificación de reCAPTCHA.expectedAction: Es la acción esperada de un usuario que especificaste cuando creaste la evaluación.score: Es el nivel de riesgo que representa la interacción del usuario.reasons: Es información adicional sobre cómo reCAPTCHA interpretó la interacción del usuario.extended_verdict_reasons: Son motivos avanzados que contribuyen al veredicto del análisis de riesgos.Los códigos de motivo están disponibles después de activar una revisión de seguridad automática agregando una cuenta de facturación a tu proyecto. Para solicitar acceso a los códigos de motivo, agrega una cuenta de facturación a tu proyecto.
Las evaluaciones de proyectos con una suscripción a Enterprise también reciben códigos de motivo avanzados. Comunícate con tu representante de cuenta o con Google Cloud Ventas para obtener la lista completa de motivos avanzados y cómo interpretarlos.
{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "extended_verdict_reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
Verifica las acciones
La respuesta JSON contiene el parámetro action que especificaste para una interacción del usuario cuando llamaste a execute() y el parámetro expectedAction que especificaste cuando creaste la evaluación.
Verifica que action coincida con expectedAction.
Por ejemplo, se debe mostrar una acción login en tu página de acceso.
Si no hay coincidencia, indica que un atacante está intentando falsificar acciones. Puedes tomar medidas contra la interacción del usuario, como agregar verificaciones adicionales o bloquear la interacción para evitar actividades fraudulentas.
Interpretar las puntuaciones
El sistema de puntuación de reCAPTCHA es una expansión de las versiones anteriores de reCAPTCHA para permitir una mayor granularidad en las respuestas. reCAPTCHA tiene 11 niveles para las puntuaciones con valores que van de 0.0 a 1.0. La puntuación de 1.0 indica que la interacción representa un riesgo bajo y es muy probable que sea legítima, mientras que la de 0.0 indica que la interacción representa un riesgo alto y podría ser fraudulenta. De los 11 niveles, solo los siguientes cuatro están disponibles antes de activar una revisión de seguridad automática agregando una cuenta de facturación a tu proyecto: 0.1, 0.3, 0.7 y 0.9.
Para solicitar acceso a 11 niveles de puntuación, agrega una cuenta de facturación a tu proyecto.
reCAPTCHA aprende supervisando el tráfico real en tu aplicación para dispositivos móviles. Por lo tanto, las puntuaciones en un entorno de etapa de pruebas y dentro de los 7 días posteriores a la implementación pueden diferir de las puntuaciones de producción a largo plazo.
Como las claves de reCAPTCHA para aplicaciones para dispositivos móviles no interrumpen el flujo de usuarios, primero puedes ejecutar reCAPTCHA sin tomar medidas y, luego, decidir los límites mediante la observación del tráfico.
Según la puntuación, puedes tomar una medida adecuada en el contexto de tu aplicación para dispositivos móviles. Para proteger mejor tu aplicación para dispositivos móviles, te recomendamos que realices la acción en segundo plano en lugar de bloquear el tráfico.
En la siguiente tabla, se enumeran algunas de las acciones que puedes realizar:
| Caso de uso | Acción |
|---|---|
| acceder | Con puntuaciones bajas, requiere MFA o verificación de correo electrónico para evitar ataques de uso excesivo de credenciales. |
| sociales, | Limite las solicitudes de amistad sin respuesta de usuarios abusivos y envíe comentarios arriesgados en moderación. |
| Comercio electrónico | Prioriza tus ventas reales por sobre los bots y identifica las transacciones riesgosas. |
Códigos de motivo
Los códigos de motivo están disponibles después de activar una revisión de seguridad automática agregando una cuenta de facturación. Para solicitar acceso a los códigos de motivo, agrega una cuenta de facturación a tu proyecto.
Es posible que se muestren algunas puntuaciones con códigos de motivo que proporcionan información adicional sobre cómo reCAPTCHA interpretó las interacciones.
En la siguiente tabla, se enumeran los códigos de motivo y sus descripciones:
| Código del motivo | Descripción |
|---|---|
| AUTOMATION | La interacción coincide con el comportamiento de un agente automatizado. |
| UNEXPECTED_ENVIRONMENT | El evento se originó en un entorno ilegítimo. |
| TOO_MUCH_TRAFFIC | El volumen de tráfico que proviene de la fuente del evento es más alto de lo normal. |
| UNEXPECTED_USAGE_PATTERNS | La interacción con el sitio es significativamente diferente a los patrones esperados. |
| LOW_CONFIDENCE_SCORE | El tráfico recibido del sitio hasta el momento es demasiado poco como para generar un análisis de riesgo de calidad. |
¿Qué sigue?
- Para ajustar el modelo específico de tu sitio, puedes enviar los IDs de evaluación a Google para confirmar los verdaderos positivos y los verdaderos negativos, o corregir errores. Para obtener más detalles, consulta Anota las evaluaciones.