GeeTest CAPTCHA v4
y CapMonster Cloud

Resolución de captchas, integración en el sitio web y pruebas.

¿Heredaste un sitio con una captcha u otra capa de protección pero sin acceso al código fuente? Entonces es normal preguntarse: ¿qué solución está instalada, está configurada correctamente y cómo se puede probar?

En este artículo hemos intentado responder a todas las preguntas clave. Para empezar a resolver la tarea, primero hay que determinar qué sistema de protección se está utilizando. Para ello, puedes consultar la lista de captchas y sistemas de protección antibot más populares, donde se muestran ejemplos visuales y señales clave que te ayudarán a identificar rápidamente con qué estás tratando.

Si descubres que tu sitio web utiliza GeeTest CAPTCHA v4, el siguiente paso será analizar con más detalle sus propiedades y su funcionamiento. En este mismo artículo también puedes consultar la guía de integración de GeeTest CAPTCHA v4 para comprender por completo cómo funciona en tu sitio. Esto te permitirá no solo entender la protección actual, sino también planificar correctamente su mantenimiento.

Qué es GeeTest CAPTCHA v4

GeeTest CAPTCHA v4 (Adaptive CAPTCHA/Behavior Verification) es una versión más moderna en comparación con v3, diseñada para proteger los sitios web de acciones automatizadas que pueden dañar el recurso. El sistema rastrea el comportamiento y las características del dispositivo del visitante del sitio y selecciona una tarea adecuada: para una persona real la verificación será lo más sencilla posible — basta con un clic en el widget de la captcha, y si hay sospecha de automatización, al usuario se le mostrará una tarea más compleja que debe superar.

Ejemplos de GeeTest CAPTCHA v4

No CAPTCHA

La verificación del usuario se realiza principalmente en función de su comportamiento e interacción con el sitio, sin necesidad de resolver tareas explícitas.

Icon CAPTCHA

Seleccionar imágenes en el orden indicado.

IconCrush CAPTCHA

Intercambiar elementos para alinear tres iconos idénticos en una fila (como en los puzles de «match-3»).

Slide CAPTCHA

Un deslizador para montar un puzle o alinear elementos de la imagen.

Gobang CAPTCHA

Un deslizador para montar un puzle o alinear elementos de la imagen.

Cómo resolver GeeTest CAPTCHA v4 con CapMonster Cloud

Al probar formularios que incluyen GeeTest CAPTCHA v4, normalmente debes verificar que la captcha funcione y esté integrada correctamente.

Puedes comprobar manualmente la captcha incrustada en tu sitio.

Abre la página del formulario y verifica que la captcha se renderice.
Intenta enviar el formulario sin resolverla: el servidor debe devolver un error.
Tras una solución correcta, el formulario debe enviarse sin inconvenientes.

Para la resolución automática puedes usar herramientas como CapMonster Cloud, que reciben los parámetros de la captcha, los procesan en sus servidores y devuelven un token listo para usar. Inserta ese token en el formulario para pasar la verificación sin interacción del usuario.

Trabajar con CapMonster Cloud mediante la API suele implicar los siguientes pasos:

Creación de la tarea

En esta etapa envías tu clave de API, el tipo de captcha y sus parámetros. El servicio devuelve un taskId único con el que podrás obtener el resultado más tarde.

Enviar una solicitud API

En la solicitud para resolver GeeTest CAPTCHA v4 es necesario indicar los siguientes parámetros:

type - GeeTestTask;

websiteURL - dirección de la página en la que se resuelve la captcha;

gt - clave identificadora de GeeTest para el dominio: parámetro captcha_id;

version - 4;

geetestApiServerSubdomain - subdominio del servidor de la API de GeeTest (debe ser distinto de api.geetest.com);

geetestGetLib - ruta al script de la captcha para mostrarla en la página. Puede ser necesario para algunos sitios;

initParameters - parámetros adicionales para la versión 4, que se usan junto con “riskType” (tipo de captcha / características de su verificación).

Consulta más detalles sobre los parámetros y cómo recopilarlos automáticamente antes de enviar una tarea en la documentación de CapMonster Cloud.

Endpoint para enviar la tarea:

https://api.capmonster.cloud/createTask

Ejemplo de solicitud:

{
  "clientKey": "YOUR_CAPMONSTER_CLOUD_API_KEY",
  "task": {
    "type": "GeeTestTask",
    "websiteURL": "https://gt4.geetest.com/",
    "gt": "54088bb07d2df3c46b79f80300b0abbe",
    "version": 4,
    "initParameters": {
      "riskType": "slide"
    }
  }
}

Respuesta:

{
  "errorId":0,
  "taskId":407533072
}

Recepción del resultado

Tras crear la tarea, consulta periódicamente el estado de la solución.

Dirección para recibir el resultado:

https://api.capmonster.cloud/getTaskResult

Ejemplo de solicitud:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respuesta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "captcha_id": "f5c2ad5a8a3cf37192d8b9c039950f79",
    "lot_number": "bcb2c6ce2f8e4e9da74f2c1fa63bd713",
    "pass_token": "edc7a17716535a5ae624ef4707cb6e7e478dc557608b068d202682c8297695cf",
    "gen_time": "1683794919",
    "captcha_output": "XwmTZEJCJEnRIJBlvtEAZ662T...[cut]...SQ3fX-MyoYOVDMDXWSRQig56"
  }
}

Colocar el token en la página

Después de recibir el resultado de la solución de la captcha desde el servidor (los valores del contenido de seccode), es necesario enviarlos al sitio. El servidor comprobará los datos y confirmará que la captcha se ha superado correctamente. Para automatizar el proceso se pueden usar solicitudes HTTP o herramientas especiales como Puppeteer, Selenium o Playwright, que permiten insertar los valores en un formulario y enviar la solicitud, emulando las acciones del usuario.

Reconocimiento de GeeTest CAPTCHA v4 utilizando bibliotecas listas para usar

El servicio CapMonster Cloud proporciona bibliotecas listas para trabajar cómodamente en Python, JavaScript (Node.js) y C#.

Python

JavaScript

Resolución, inserción del token y envío del formulario

Ejemplo en Node.js para el ciclo completo de reconocimiento de la captcha en tu página web. Posibles enfoques: usar solicitudes HTTP para obtener el HTML y los parámetros de la captcha, enviar la respuesta y procesar el resultado; o, mediante herramientas de automatización (por ejemplo, Playwright), abrir la página, esperar a que aparezca la captcha, enviar los parámetros (para pruebas puedes enviar datos correctos e incorrectos), obtener la solución a través del cliente de CapMonster Cloud, insertar el token en el formulario y ver el resultado.

// npm install playwright @zennolab_com/capmonstercloud-client

import { chromium } from "playwright";
import {
  CapMonsterCloudClientFactory,
  ClientOptions,
  GeeTestRequest
} from "@zennolab_com/capmonstercloud-client";

const CAPMONSTER_API_KEY = "YOUR_CAPMONSTER_API_KEY";

async function solveGeetestV4(pageUrl) {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext({ viewport: null });
  const page = await context.newPage();

  let detected = null;
  let solutionObj = null;

  // 1. Interceptar la respuesta de /load (determinar captcha_id, challenge, etc.)
  page.on("response", async (response) => {
    const url = response.url();
    if (!url.startsWith("https://gcaptcha4.geetest.com/load?")) return;

    const params = new URLSearchParams(url.split("?")[1] || "");
    const captchaId = params.get("captcha_id");
    const challenge = params.get("challenge");
    const captchaType = params.get("captcha_type");

    if (captchaId && challenge) {
      detected = { captchaId, challenge, captchaType };
      console.log("Detected GeeTest v4 load:", detected);
    }
  });

  // 2. Cargar la página
  console.log("Opening page:", pageUrl);
  await page.goto(pageUrl, { waitUntil: "domcontentloaded" });

  // 3. Esperar hasta capturar /load
  console.log("Waiting for GeeTest /load...");
  while (!detected) {
    await page.waitForTimeout(500);
  }

  // 4. Enviar la tarea a CapMonster Cloud
  console.log("Sending task to CapMonster...");
  const cmc = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: CAPMONSTER_API_KEY })
  );

  const task = new GeeTestRequest({
    websiteURL: pageUrl,
    gt: detected.captchaId,
    challenge: detected.challenge,
    version: "4",
    initParameters: {
      riskType: detected.captchaType || "slide"
    }
  });

  const solveRes = await cmc.Solve(task);
  const sol = solveRes.solution || solveRes;

  solutionObj = {
    captcha_id: sol.captcha_id || detected.captchaId,
    captcha_output: sol.captcha_output,
    lot_number: sol.lot_number,
    pass_token: sol.pass_token
  };

  console.log("Got solution from CapMonster:", solutionObj);

  // 5. Insertar tus valores en /verify para obtener una respuesta satisfactoria
  await page.route("https://gcaptcha4.geetest.com/verify*", async (route) => {
    console.log("Intercepted /verify, injecting fake success...");
    const body = `geetest_${Date.now()}(${JSON.stringify({
      status: "success",
      data: {
        result: "success",
        seccode: {
          captcha_id: solutionObj.captcha_id,
          captcha_output: solutionObj.captcha_output,
          lot_number: solutionObj.lot_number,
          pass_token: solutionObj.pass_token
        }
      }
    })})`;

    await route.fulfill({
      status: 200,
      contentType: "application/javascript",
      body
    });
  });

  // 6. Imitar la acción del usuario (por ejemplo, hacer clic en el botón de la captcha)
  console.log("Waiting for captcha interaction...");
  await page.waitForTimeout(3000);

  // Ejemplo de llamada de verificación:
  try {
    await page.click('.geetest_btn'); // botón de la captcha
    console.log("Clicked captcha button");
  } catch {
    console.log("Captcha button not found");
  }

  // A veces es necesario llamar a verify() manualmente:
  await page.evaluate(() => {
    if (window.initGeetest4 && typeof verify === "function") {
      verify();
    }
  });

  console.log("Waiting for verification request...");
  await page.waitForTimeout(3000);

  await browser.close();

  return { detected, solution: solutionObj };
}
(async () => {
  const url = "https://example.com"; // sustituir por una página con GeeTest v4
  const res = await solveGeetestV4(url);
  console.log("FINISHED:", res);
})();

También existe una excelente opción para probar el reconocimiento de captchas mediante la extensión de navegador de CapMonster Cloud, que permite comprobar rápidamente el funcionamiento de la captcha directamente en la página y seguir el proceso de resolución en tiempo real sin escribir código, disponible para su instalación en Chrome y Firefox.

Cómo conectar GeeTest CAPTCHA v4 a tu sitio

Para orientarte con seguridad en el funcionamiento de la captcha en tu sitio, entender la lógica de verificación y poder reconectarla o reconfigurarla, te recomendamos estudiar esta sección. Aquí se describe el proceso de conexión de la protección, lo que te ayudará a comprender rápidamente todos los matices.

1. Regístrate o accede a tu cuenta de GeeTest.

2. Ve al Captcha Dashboard y selecciona Behavior Verification v4:

HowTo Connect image 1

3. En el panel de control haz clic en + Create application.

4. Indica APP/website name (el nombre del sitio o aplicación donde se utilizará la captcha), Address (el dominio principal del sitio donde se instalará la captcha, por ejemplo, https://example.com), Industry (la categoría del sitio, por ejemplo, “E-commerce”, “Social Media”, etc.) y haz clic en Confirm.

5. Haz clic en Add events junto al nombre de la aplicación recién creada. Especifica Event: el nombre del escenario concreto (evento) en el que se utilizará la captcha, por ejemplo login, register, etc.; Device: la plataforma (por ejemplo Web/Wap); Business types: el tipo de escenario de uso de la captcha (por ejemplo, Sign-up / Sign-in — registro / inicio de sesión). Haz clic en Add.

6. Ahora en tu panel verás el ID (se utiliza en el cliente y el servidor) y la Key (se utiliza en el servidor para la verificación) de la captcha creada:

HowTo Connect image 2

7. Conecta la parte cliente

Incluye el script:

<script src="https://static.geetest.com/v4/gt4.js"></script>

Inicializa la CAPTCHA:

initGeetest4(
  { captchaId: "Your CaptchaId" },
  function (captcha) {
    captcha.appendTo("#captcha"); // insertar en un elemento de la página
  }
);

Importante:

La CAPTCHA debe inicializarse al cargar la página; de lo contrario, no podrá rastrear el comportamiento del usuario.
Si utilizas varias CAPTCHAs en una misma página, llama a initGeetest4 por separado para cada una.
Si utilizas la CAPTCHA dentro de un iframe, añade sandbox="allow-scripts allow-popups".

Ejemplo de código

<!-- Incluir el script de la CAPTCHA -->
  <script src="https://static.geetest.com/v4/gt4.js"></script>
</head>
<body>
  <h1>CAPTCHA Demo</h1>
  <!-- Contenedor para la CAPTCHA -->
  <div id="captcha"></div>

  <script>
    // Inicialización de la CAPTCHA
    initGeetest4(
      {
        captchaId: "YOUR_CAPTCHA_ID" // sustituir por tu CaptchaId
      },
      function (captcha) {
        // Insertar la CAPTCHA en el elemento de la página
        captcha.appendTo("#captcha");

        // Aquí se puede manejar el paso correcto de la verificación
        captcha.onSuccess(function() {
          const validate = captcha.getValidate();
          console.log("CAPTCHA passed!", validate);
          // Aquí se puede enviar validate al servidor para la verificación
        });
      }
    );
  </script>

8. Configura la parte servidor.

Cuando el usuario supera la CAPTCHA en el frontend, se genera un conjunto de parámetros. Es necesario enviarlos al backend y luego verificarlos a través de la API secundaria de GeeTest para confirmar que la verificación ha sido correcta.

API secundaria de verificación:

url

http://gcaptcha4.geetest.com/validate

Método: GET/POST
Content-Type: application/x-www-form-urlencoded
Respuesta: JSON

Parámetros principales de la solicitud

lot_number: número de serie de la verificación
captcha_output: datos de la verificación
pass_token: token de verificación
gen_time: hora de generación de la verificación
captcha_id: ID de la CAPTCHA
sign_token: firma para la verificación

Ejemplo de respuesta correcta

{
  "status": "success",
  "result": "success",
  "reason": "",
  "captcha_args": {
    "used_type": "slide",
    "user_ip": "127.0.0.1",
    "lot_number": "4dc3cfc2cdff448cad8d13107198d473",
    "scene": "anti crawler",
    "referer": "http://127.0.0.1:8077/"
  }
}

Ejemplo de verificación de la CAPTCHA en PHP

<?php
$captcha_id = 'YOUR_CAPTCHA_ID';
$captcha_key = 'YOUR_CAPTCHA_KEY';
$api_server = 'http://gcaptcha4.geetest.com';

// Obtener los parámetros desde el frontend
$lot_number = $_POST['lot_number'] ?? '';
$captcha_output = $_POST['captcha_output'] ?? '';
$pass_token = $_POST['pass_token'] ?? '';
$gen_time = $_POST['gen_time'] ?? '';

// Generar la firma
$sign_token = hash_hmac('sha256', $lot_number, $captcha_key);

// Formar los datos de la solicitud
$data = [
    'lot_number' => $lot_number,
    'captcha_output' => $captcha_output,
    'pass_token' => $pass_token,
    'gen_time' => $gen_time,
    'sign_token' => $sign_token
];

// Solicitud a la API secundaria de verificación
$url = $api_server . '/validate?captcha_id=' . $captcha_id;
$options = [
    'http' => [
        'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
        'method'  => 'POST',
        'content' => http_build_query($data),
        'timeout' => 5
    ]
];

$context  = stream_context_create($options);
$result = @file_get_contents($url, false, $context);
if ($result === FALSE) {
    $response = ['login' => 'fail', 'reason' => 'request geetest api fail'];
} else {
    $gt_msg = json_decode($result, true);
    if ($gt_msg['result'] === 'success') {
        $response = ['login' => 'success', 'reason' => $gt_msg['reason']];
    } else {
        $response = ['login' => 'fail', 'reason' => $gt_msg['reason']];
    }
}

echo json_encode($response);
?>

Para configurar la captcha, elegir la estrategia de protección óptima, el estilo y la animación del widget y obtener información más detallada sobre los parámetros de integración, utiliza la consola de desarrollador de GeeTest y la documentación oficial.

Posibles errores y depuración

Parámetros no válidos

La captcha no se muestra o devuelve errores como invalid-captcha-id / invalid-challenge. Comprueba que estás utilizando valores actualizados de captcha_id y challenge que correspondan a tu página. Estos parámetros se generan dinámicamente en cada solicitud /load.

Tiempo de espera agotado

La solución de la captcha no se ha recibido a tiempo. Aumenta el tiempo de espera cuando utilices servicios de resolución automática (por ejemplo, CapMonster Cloud) y asegúrate de que la conexión con la API sea estable.

Campos vacíos

captcha_output, pass_token o lot_number no se envían a la página o a la solicitud de verificación. Asegúrate de que estos valores se insertan correctamente en los campos ocultos del formulario o en el cuerpo de la solicitud a tu servidor.

Respuesta success=false

El token ha caducado, se ha reutilizado o es falso. Activa el registro de todas las solicitudes y respuestas del servidor de verificación para poder rastrear campos como error_code o error_msg.

Pruebas de resistencia de la protección

Después de la integración, asegúrate de que el sistema realmente proteja el sitio contra acciones automatizadas.

Intenta ejecutar una solicitud sin resolver la captcha: el servidor debería devolver success: false.

Realiza pruebas de carga (por ejemplo, con k6 o JMeter) a una velocidad superior a 100 solicitudes por segundo: la captcha debe mostrarse correctamente y el sistema de validación debe seguir siendo estable.

Comprueba la reacción del servidor al utilizar un token caducado o reenviado (pass_token / lot_number): la respuesta esperada es: 403 Forbidden o "status":"error".

Consejos de seguridad y optimización

Almacena la <b>clave de la captcha (KEY secreta) solo en el servidor</b> y nunca la expongas en la parte cliente.

Almacena la clave de la captcha (KEY secreta) solo en el servidor y nunca la expongas en la parte cliente.

Registra los códigos de error durante la verificación (<b>error-codes</b> o campos de la respuesta del servidor) para entender las causas de las validaciones fallidas.

Registra los códigos de error durante la verificación (error-codes o campos de la respuesta del servidor) para entender las causas de las validaciones fallidas.

Añade enlaces a la <b>Política de privacidad</b> y a los <b>Términos de uso de GeeTest</b> al final del formulario, si así lo requiere la licencia o tus políticas internas.

Añade enlaces a la Política de privacidad y a los Términos de uso de GeeTest al final del formulario, si así lo requiere la licencia o tus políticas internas.

Conclusión

Si has heredado un sitio web que ya tiene un captcha u otro sistema de protección instalado y no tienes acceso al código, no pasa nada. Identificar qué tecnología se está utilizando es bastante sencillo. Para comprobar que todo funciona correctamente, puedes usar el servicio de reconocimiento CapMonster Cloud en un entorno de pruebas aislado, para asegurarte de que el mecanismo de procesamiento de tokens y la lógica de verificación funcionan correctamente.

En el caso de GeeTest CAPTCHA v4, basta con detectar el sistema, analizar su comportamiento y confirmar que la protección funciona correctamente. En el artículo hemos mostrado cómo identificar GeeTest CAPTCHA v4 y dónde encontrar las instrucciones para su integración o reconfiguración, de modo que puedas mantener la protección con confianza y controlar su funcionamiento.

Enlaces útiles

Documentación de GeeTest v4 →

Consola de desarrollador de GeeTest v4 →

Documentación de CapMonster Cloud (trabajo con GeeTest v4) →

Crear una cuenta en GeeTest →

Crear una cuenta en CapMonster Cloud →

La extensión de navegador de CapMonster Cloud está disponible para Chrome y Firefox. La guía completa de instalación y uso está disponible aquí.

GeeTest CAPTCHA v4 y CapMonster Cloud

Cómo resolver GeeTest CAPTCHA v4 con CapMonster Cloud

GeeTest CAPTCHA v4
y CapMonster Cloud