mathguard para TYPO3

Los CAPTCHAs matemáticos son la protección anti-spam accesible que la mayoría de webs desconoce

El spam en formularios de contacto es un tema recurrente. La solución más popular es Google reCAPTCHA, pero envía datos de usuario a Google y complica el cumplimiento del RGPD. Los CAPTCHAs basados en imágenes (“marque todos los semáforos”) frustran a los usuarios y son inaccesibles para lectores de pantalla. mathguard sigue otro camino: la extensión muestra una operación matemática simple (“¿Cuánto es 3 + 7?”) en el formulario. Los humanos lo resuelven en segundos, mientras que los bots automatizados fallan en su mayoría. Sin JavaScript externo, sin cookies, sin transferencia de datos a terceros y totalmente compatible con lectores de pantalla.

Para administraciones públicas, universidades y empresas con exigencias de accesibilidad (Real Decreto 1112/2018, WCAG 2.1), mathguard es una de las pocas soluciones CAPTCHA que garantiza tanto protección anti-spam como accesibilidad. La reducción de spam se sitúa entre el 85 y el 95% del tráfico entrante de bots. En comparación: Google reCAPTCHA v3 alcanza valores similares, pero transfiere datos a servidores de Google en cada carga de página, incluso sin interacción con el formulario.

Los escenarios típicos son formularios de contacto, comentarios y registros

El escenario estándar es el formulario de contacto en una web corporativa. Sin protección anti-spam, llegan diariamente entre 20 y 200 envíos de bots al buzón de la redacción. mathguard añade un campo de operación matemática entre el campo de email y el botón de envío. La operación se genera aleatoriamente en cada carga de página, de modo que los bots no pueden precalcular la solución.

Segundo escenario: funciones de comentarios en blogs y portales de noticias. Si los visitantes pueden dejar comentarios a los artículos, el spam es inevitable. mathguard protege el formulario de comentarios sin que los visitantes necesiten una cuenta de Google o una aplicación especial.

Tercer escenario: registros de usuarios. Cuando una web ofrece cuentas de frontend (por ejemplo, para un portal de clientes o un área de descargas protegida), mathguard protege el formulario de registro frente a la creación automatizada de cuentas. La operación matemática es el último obstáculo antes del envío, adicional al Double-Opt-In.

La arquitectura técnica genera operaciones matemáticas en el servidor con validación por sesión

mathguard funciona íntegramente en el servidor. En cada carga de formulario, la extensión genera una operación matemática aleatoria (suma, resta o multiplicación con números de una cifra). La solución correcta se guarda en la sesión PHP, no en el código HTML. Eso es determinante: si la solución estuviera como campo oculto en el formulario, cualquier bot podría leerla.

La integración en formularios TYPO3 se realiza mediante un ViewHelper o un partial Fluid que se inserta en las plantillas de formulario existentes. Para powermail y el TYPO3 Form Framework existen ejemplos de configuración que permiten la integración en 10 a 15 minutos.

La operación se muestra como texto (“¿Cuánto es 5 + 3?”), no como imagen. Eso la hace automáticamente compatible con lectores de pantalla: el software de lectura puede leer la operación y el usuario introduce la solución en un campo de texto normal. No hay distorsiones visuales, ni problemas de contraste de color, ni limitaciones de tiempo.

Para mayor seguridad, mathguard se puede combinar con un campo honeypot: un campo de formulario invisible que los bots rellenan pero los usuarios reales ignoran. Como complemento se puede añadir una validación por marca temporal: si un formulario se rellena en menos de 3 segundos, es con alta probabilidad un bot. La combinación de CAPTCHA matemático, honeypot y comprobación de marca temporal alcanza una reducción de spam superior al 99%.

Los problemas frecuentes son bots más inteligentes, pérdida de sesión y fricción UX

Primer problema: bots avanzados que resuelven operaciones matemáticas. Bots de parsing de texto sencillos pueden interpretar “¿Cuánto es 3 + 7?” e introducir la respuesta correcta “10”. La solución: representar la operación como texto ligeramente ofuscado (“Tres más siete es igual a”) o ampliar la operación con un contexto (“¿Cuántas patas tiene una silla menos una?”). mathguard en su configuración estándar utiliza operaciones numéricas, suficiente para el 85 al 95% de los bots.

Segundo problema: pérdida de sesión. Si la sesión PHP se pierde entre la carga del formulario y el envío (por ejemplo, por un load balancer sin session stickiness), la validación falla aunque el usuario haya introducido la respuesta correcta. La solución: configurar session stickiness en el load balancer o guardar los datos de sesión en la base de datos en lugar del sistema de archivos.

Tercer problema: fricción UX. Algunos visitantes perciben una operación matemática como paternalista (“¿Tengo que demostrar que sé sumar?”). La solución: colocar un mensaje amable sobre el campo (“Protección anti-spam: por favor, resuelve esta operación”) e integrar la operación visualmente de forma discreta en el diseño del formulario.

mathguard funciona con todas las versiones de TYPO3 porque la técnica es mínima

La extensión no tiene dependencias profundas con la API del core de TYPO3. La gestión de sesiones, el renderizado de formularios y la validación utilizan funciones estándar de PHP y TYPO3 que apenas cambian entre versiones. mathguard es compatible con TYPO3 v10, v11 y v12 y previsiblemente también funcionará en v13, con ajustes mínimos en el ViewHelper. Para proyectos que quieren prescindir de extensiones, la misma lógica se puede reconstruir en menos de una hora como validador personalizado en el TYPO3 Form Framework o como finisher de powermail. En sus propios proyectos, Gosign implementa una combinación de honeypot, validación por marca temporal y CAPTCHA matemático opcional como protección anti-spam en tres niveles, sin servicios externos y eficaz contra más del 99% de los ataques automatizados. La decisión de si el CAPTCHA matemático es visible o solo actúa como fallback invisible la tomamos proyecto a proyecto en función del volumen de spam esperado y de los requisitos de accesibilidad.