A estas alturas todos debéis saber lo que son los Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart), esas preguntas automáticas que se ponen en los formularios de contacto (y similares) para evitar el spam. A lo mejor también sabéis que Google “evolucionó” los Captcha y sacó su famoso reCaptcha. Tal fue su aceptación que es uno de los más usados y, claro, los “malos” han ido descubriendo maneras de “saltarse” el control. Algunas más graciosas que otras. Del reCaptcha versión 1 (una lata para el usuario y que se saltaron en seguida los robots) pasó al versión 2. Si, el “no soy un robot”, que de vez en cuando te hacía preguntas para verificarlo (V2). Esta versión era menos “intrusiva” para el usuario, porque sólo tenías que pinchar en la casilla. Eso era si Google tenía suficiente información para afirmar que no eras un robot. Si no la tenía, te hacía unas preguntas de seguridad (pincha en los semáforos, robots etc) con fotos en modo grid. Muchos usuarios se quejaban de esta segunda prueba, pero lo que era cierto es que permitía eliminar falsos positivos. Si no tenías la puntuación adecuada, podías pasar un segundo test. Para ser más user friendly, reCaptcha V2 incluyó después el “invisible reCaptcha“. Y en esa dirección han continuado con la V3. En la V3, no aparece ningún aviso ni información para el usuario. Funciona como muchos otros detectores de Spam, tu pones una puntuación (0 a 1) en la configuración de la API (en el código que te dan) y cualquier cosa que no supere esa puntuación se considera spam y se bloquea. Poco intrusivo….pero claro, puede bloquear falsos positivos fácilmente. Con esto veis las diferencias principales entre reCaptcha V2 y reCaptcha V3. Versión 2. Más intrusivo. Como mínimo tienes que pinchar en la casilla. Y hay gente que tiene que repetir varias veces las pruebas de las imágenes, llegando a hartarse. Deja dos oportunidades. Si el sistema no te da la puntuación adecuada, puedes pasar el “challenge”, las preguntas. Esto permite que no se bloquee gente que debería pasar. Menos carga en la página (ver versión 3). Versión 3. Más “user friendly“. Cuando todo va bien, el cliente no ve nada. Puedes graduar la puntuación de “spam” del sistema. Antes la establecía Google, ahora puedes ponerla tú e ir variando. Estadísticas. Una de las cosas que quería Google con reCaptcha V3 es que el cliente pudiera capturar datos de su spam a través de la API. Aunque dudo que al final lo use nadie. No hay doble oportunidad para falsos positivos. El sistema los corta y ya está. Aumenta la carga de la página. Para que funcione necesita cargar su código en todas las páginas de tu sitio web. Algo que puede ralentizar tu página. Por defecto deja un logo en todas las páginas de tu web. Se puede quitar…pero por defecto no es muy agradable. GPDR. V3 manda más información (todo el formulario por lo que se lee por ahí) a los servidores de Google, deberías añadir esto en tu política de privacidad. Conclusión Aunque nosotros, por motivos lógicos, al principio pensamos que reCaptcha V3 sustituiría a reCaptcha V2, no es así. Son dos opciones diferentes, V2 continuará y así lo afirma Google. De hecho se podrían usar a la vez. La idea, según Google, es usar V2 para aquellos formularios donde queremos reducir los falsos positivos, pero V3 donde lo que no queremos es molestar mucho al usuario. Como dice Google:” For example, a registration page might still use reCAPTCHA v2 for a higher-friction challenge, whereas more common actions like sign-in, searches, comments, or voting might use reCAPTCHA v3 “ Es decir, podemos usar V2 para formularios de registro, y luego V3 para formularios de comentarios, login etc. Espero que os sirva …porque nosotros tardamos en entederlo.
