CAPTCHA para TYPO3

Por qué la decisión sobre CAPTCHA no es una cuestión técnica, sino de protección de datos

CAPTCHA suena a decisión trivial: proteger el formulario frente a bots, instalar la extensión y listo. En la práctica es la pregunta de qué servicio se integra, qué consentimiento se genera y qué tasa de conversión se acepta. Para TYPO3 existe una docena de enfoques que se dividen en tres grupos: CAPTCHAs visibles con tarea visual, análisis de comportamiento invisibles como reCAPTCHA v3 y métodos puramente del lado del servidor sin interacción del usuario, como honeypots o rate limiting. La elección correcta depende menos de la fuerza del bot que del punto de partida regulatorio y del público del formulario.

Escenarios típicos de uso

Un proveedor de software B2B opera un formulario de contacto con unas 300 consultas reales al mes y cerca de 8.000 envíos de bots. El proveedor ya utiliza Google Analytics, tiene en marcha una solución de consentimiento y no pierde base jurídica al incorporar reCAPTCHA v3. En ese caso la solución invisible es efectiva: los bots se bloquean tras bambalinas, los usuarios reales no ven nada, la tasa de conversión se mantiene estable. El consentimiento ya llega por el banner existente.

Un ayuntamiento con formularios en línea para trámites ciudadanos tiene el punto de partida opuesto: Google no puede integrarse, los banners de consentimiento deben ser mínimos y el formulario debe funcionar también sin JavaScript. Aquí reCAPTCHA queda descartado de inmediato. La combinación honeypot más rate limiting en el proxy inverso, más una sencilla operación aritmética en el formulario, captura el 95 por ciento de los bots, no requiere ningún recurso externo y no genera obligación de consentimiento, algo que la AEPD valora positivamente en auditorías del sector público.

Un tercer caso es un centro educativo con un público muy heterogéneo: estudiantes, docentes, candidatos externos, en parte con discapacidad visual. Aquí la accesibilidad es más importante que cualquier ganancia de seguridad, y un CAPTCHA puramente visual resulta problemático. La solución es una configuración hCaptcha con el modo de accesibilidad activado o una instancia de sr_freecap con alternativa de audio, complementada con un etiquetado completo conforme al Real Decreto 1112/2018 sobre accesibilidad web.

Arquitectura técnica: tres categorías, tres patrones de integración

Los CAPTCHAs visibles como sr_freecap o hCaptcha funcionan mediante un mecanismo de request-response: la extensión genera o recibe una tarea, la muestra al usuario y, al enviar, la entrada se valida en el servidor. En TYPO3 la integración se realiza mediante un validator en el Form Framework, mediante una extensión del ViewHelper Fluid o, en Powermail, mediante el plugin de campo Captcha. El reto técnico es la sincronización de sesión y la integración en plantillas Fluid existentes.

Los CAPTCHAs invisibles como reCAPTCHA v3 calculan un score entre 0 y 1 que describe la probabilidad de que la petición sea humana. El score llega como campo adicional con el envío del formulario, y la extensión decide, en función de un umbral configurable, si se acepta o descarta el envío. La gran ventaja es que el usuario no nota nada; la desventaja es la transmisión inevitable de datos a Google.

Las soluciones basadas en honeypot trabajan sin lógica en el cliente: un campo de entrada invisible se añade al formulario HTML, oculto por CSS o tabindex=-1. Los humanos no lo rellenan, los bots sí con mucha frecuencia, y en el servidor se descarta cualquier envío con honeypot relleno. Complementado con rate limiting basado en IP y un intervalo comprobable entre la carga de la página y el envío, esto bloquea la mayoría de bots simples sin molestar a ningún usuario.

Problemas frecuentes y soluciones

El primer problema es la propia elección: los equipos recurren por reflejo a reCAPTCHA porque es conocido y gratuito, y pasan por alto la obligación de consentimiento. Una decisión limpia requiere una breve evaluación: ¿qué infraestructura de consentimiento existe? ¿Qué público debe usar el formulario? ¿Cuál es la carga real de bots? Gosign realiza esa evaluación dentro de una auditoría breve y recomienda el método adecuado por formulario, en lugar de forzar una solución única.

El segundo problema es la combinación de varios mecanismos de protección. Quien usa honeypot, CAPTCHA y rate limiting en paralelo crea redundancia, pero también fuentes de error: un usuario legítimo fracasa en uno de los tres pasos y pierde la confianza en el formulario. La respuesta pragmática es escalonar los métodos y activar únicamente la protección más costosa ante comportamiento sospechoso, por ejemplo mostrar un CAPTCHA solo cuando la detección por honeypot ya ha saltado o cuando se han recibido varios envíos desde la misma IP en poco tiempo.

El tercer tema es el monitoring. Los equipos instalan una protección y olvidan que la eficacia disminuye en cuanto los bots desarrollan patrones de comportamiento adaptados. Una configuración CAPTCHA efectiva registra la tasa de spam y la tasa de falsos positivos y actualiza los umbrales cuando los números cambian. Gosign monta ese monitoring en el marco de la integración de la extensión y entrega una evaluación mensual, de modo que queda visible cuándo es necesario cambiar de proveedor o ajustar la configuración.

Migración y compatibilidad de versiones

En TYPO3 v12 y v13 el Form Framework es el punto central de integración para soluciones CAPTCHA. Las extensiones que aún se apoyan en el antiguo FormBuilder o en el tipo mailform del núcleo deben reconstruirse, al migrar, sobre el nuevo framework, lo que por regla general también obliga a una nueva elección del enfoque CAPTCHA. Powermail sigue siendo una alternativa popular y aporta sus propios tipos de campo CAPTCHA, mantenidos en paralelo.

Quien migra de reCAPTCHA a una solución favorable al RGPD no solo se ahorra una obligación de consentimiento, sino que a menudo también gana tiempo de carga: el script de reCAPTCHA pesa varios cientos de kilobytes y se carga en cualquier página que contenga un formulario. Una configuración honeypot prescinde por completo de scripts externos. Gosign ha acompañado varias de esas migraciones y entrega, según el modelo operativo, o bien una configuración honeypot pura o bien una combinación con una operación aritmética local, trivial para personas pero una barrera notable para bots.