reCAPTCHA para PrestaShop: detener el spam sin molestar a los clientes reales

Si tienes una tienda online, tienes spam. Registros de cuentas falsos, envíos de formularios de contacto vendiendo servicios SEO, abuso automatizado del carrito y pedidos falsos con direcciones aleatorias. Los bots son implacables, y sin protección, desperdician tu tiempo e incluso pueden costarte dinero a través de pedidos fraudulentos. reCAPTCHA es la solución más utilizada, y cuando se implementa correctamente, detiene los bots mientras permanece invisible para tus clientes reales.

El problema del spam en el comercio electrónico

El spam en las tiendas online toma varias formas:

• Registros falsos: Los bots crean cientos de cuentas, a menudo usando direcciones de correo electrónico temporales. Esto infla tu base de datos de clientes, distorsiona tus análisis y a veces sirve como precursor de abusos más dirigidos.
• Spam del formulario de contacto: Tu formulario de contacto se llena de mensajes automatizados sobre servicios SEO, medicamentos baratos o esquemas de criptomonedas. Los mensajes reales de clientes quedan enterrados en el ruido.
• Pedidos falsos: Los bots realizan pedidos con números de tarjetas de crédito robadas para probar si las tarjetas funcionan. Incluso si el pago falla, cada intento genera riesgo de fraude y puede activar advertencias de tu procesador de pagos.
• Spam de reseñas: Reseñas falsas automatizadas — a veces positivas (de competidores manipulando sistemas) y a veces negativas (de actores maliciosos).
• Abuso de newsletter: Los bots suscriben direcciones de correo electrónico aleatorias a tu newsletter, causando potencialmente problemas de entregabilidad o que tu dominio de envío sea incluido en listas negras.

Versiones de reCAPTCHA explicadas

reCAPTCHA v2 (casilla "No soy un robot")

La versión que la mayoría de la gente reconoce. Presenta una casilla que a veces activa un desafío de imágenes ("selecciona todas las imágenes con semáforos"). Funciona pero añade fricción — los desafíos de imágenes son a veces confusos incluso para los humanos, e interrumpen el flujo del usuario.

Mejor usado para: formularios donde una pequeña cantidad de fricción es aceptable (registro, formularios de contacto, restablecimiento de contraseña).

reCAPTCHA v2 Invisible

Como v2 pero funciona en segundo plano sin mostrar la casilla. Solo presenta un desafío si Google sospecha comportamiento de bot. La mayoría de los usuarios legítimos nunca ven nada. Este es un buen punto medio entre protección y experiencia de usuario.

reCAPTCHA v3 (basado en puntuación)

La versión más moderna. Funciona completamente en segundo plano, puntuando a cada visitante de 0,0 (probablemente bot) a 1,0 (probablemente humano). Sin casilla, sin desafíos de imágenes — el usuario nunca sabe que está ahí. Tú decides qué umbral de puntuación activa la protección (típicamente 0,5).

Mejor usado para: checkout, inicio de sesión y cualquier formulario donde la fricción debe minimizarse. Para el checkout especialmente, cualquier paso adicional que interrumpa el flujo de compra cuesta conversiones. reCAPTCHA v3 proporciona protección sin ningún impacto visible para el usuario.

Dónde añadir reCAPTCHA en tu tienda

No todos los formularios necesitan reCAPTCHA. Añadirlo en todas partes crea peso de página innecesario y conflictos potenciales. Concéntrate en los formularios que realmente son objetivo de los bots:

• Formulario de registro: Alta prioridad. Los registros falsos son uno de los tipos de spam más comunes.
• Formulario de contacto: Alta prioridad. Sin protección, los formularios de contacto reciben spam abrumador.
• Formulario de inicio de sesión: Prioridad media. Protege contra intentos de contraseña por fuerza bruta.
• Suscripción a newsletter: Prioridad media. Previene el abuso de suscripciones masivas.
• Checkout: Usa solo reCAPTCHA v3 (invisible). Cualquier desafío visible en el checkout matará las conversiones.
• Reseñas de productos: Prioridad media si recibes reseñas spam.
• Restablecimiento de contraseña: Prioridad baja a media. Previene ataques de enumeración.

Implementación en PrestaShop

PrestaShop no incluye reCAPTCHA de forma nativa, pero los módulos lo añaden fácilmente. Al elegir un módulo de reCAPTCHA, comprueba que:

• Soporte reCAPTCHA v3 (no solo v2)
• Te permita elegir qué formularios están protegidos
• Permita configurar el umbral de puntuación para v3
• No cargue scripts de reCAPTCHA en páginas donde no existe ningún formulario (consideración de rendimiento)
• Maneje los errores de validación con elegancia — si reCAPTCHA falla, el usuario debería ver un mensaje de error claro, no una página en blanco

La configuración requiere crear un proyecto reCAPTCHA en la consola de administración de Google reCAPTCHA, que te da una clave de sitio y una clave secreta. Estas van en la configuración de tu módulo. El proceso toma unos 5 minutos.

Problemas comunes y soluciones

reCAPTCHA bloquea usuarios legítimos

Esto ocurre ocasionalmente, especialmente con los desafíos de imágenes v2. Los usuarios con ciertas configuraciones de navegador, usuarios de VPN o usuarios en regiones con alto tráfico de bots pueden ser desafiados más agresivamente. reCAPTCHA v3 con un umbral razonable (0,3-0,5) elimina en gran medida este problema porque no bloquea — puntúa, y tú decides la acción.

Impacto en el rendimiento

reCAPTCHA carga un archivo JavaScript de los servidores de Google. Este archivo pesa unos 150 KB y tarda unos cientos de milisegundos en cargar. En páginas con optimización de rendimiento agresiva, esto puede ser perceptible. Mejor práctica: carga el script de reCAPTCHA solo en páginas que tienen formularios protegidos, no en cada página de tu tienda.

Preocupaciones de privacidad

reCAPTCHA envía datos a Google, incluyendo direcciones IP y comportamiento de navegación. Bajo el RGPD, esto es procesamiento de datos personales con un tercero. Deberías:

• Mencionar Google reCAPTCHA en tu política de privacidad
• Incluirlo bajo tu consentimiento de cookies si usas seguimiento basado en consentimiento
• Considerarlo como necesario para la seguridad (interés legítimo) en lugar de opcional

Si el consentimiento RGPD para servicios de Google es una preocupación, alternativas como hCaptcha o Cloudflare Turnstile ofrecen protección similar con perfiles de privacidad diferentes.

Más allá de reCAPTCHA: protección por capas

reCAPTCHA es una capa de defensa. Para una protección anti-spam integral, combínalo con:

• Campos honeypot: Campos de formulario ocultos que son invisibles para los humanos pero rellenados por los bots. Si el campo tiene datos, el envío es spam. Cero fricción para usuarios reales.
• Limitación de frecuencia: Limita cuántas veces se puede enviar un formulario desde la misma IP en un periodo dado. Ningún usuario legítimo registra 50 cuentas en una hora.
• Verificación de correo electrónico: Requiere confirmación por correo electrónico para nuevos registros. Los bots que usan direcciones de correo temporales raramente confirman.
• Bloqueo de IP: Bloquea rangos de IP de spam conocidos. Tus herramientas de bloqueo de IP se encargan de esto.

La combinación de reCAPTCHA v3 (invisible, basado en puntuación) más campos honeypot detiene la gran mayoría del spam automatizado sin ninguna fricción para los clientes legítimos. Añade verificación de correo electrónico para registros y limitación de frecuencia en formularios sensibles, y tendrás una protección robusta sin hacer que tu tienda parezca una fortaleza que los clientes necesitan asaltar.