Extensión para navegadores

Para empresas

Precios

Blog

Documentación

Español

MTCaptcha
y CapMonster Cloud

Solución de captcha, instalación en el sitio y pruebas.

¿Heredaste un sitio con una captcha u otra capa de protección pero sin acceso al código fuente? Entonces es normal preguntarse: ¿qué solución está instalada, está configurada correctamente y cómo se puede probar?

En este artículo hemos intentado responder a todas las preguntas clave. Para empezar a resolver la tarea, primero hay que determinar qué sistema de protección se está utilizando. Para ello, puedes consultar la lista de captchas y sistemas de protección antibot más populares, donde se muestran ejemplos visuales y señales clave que te ayudarán a identificar rápidamente con qué estás tratando.

Si descubres que tu sitio web utiliza MTCaptcha, el siguiente paso será analizar con más detalle sus propiedades y su funcionamiento. En este mismo artículo también puedes consultar la guía de integración de MTCaptcha para comprender por completo cómo funciona en tu sitio. Esto te permitirá no solo entender la protección actual, sino también planificar correctamente su mantenimiento.

Qué es MTCaptcha

MTCaptcha es un sistema de protección de sitios web contra acciones automatizadas que utiliza verificación inteligente y captcha. Primero, el servicio analiza el tráfico en segundo plano. Si el comportamiento del visitante parece sospechoso, el sistema muestra automáticamente un captcha de texto para verificación adicional.

Cómo resolver MTCaptcha a través de CapMonster Cloud

Al probar formularios que incluyen MTCaptcha, normalmente debes verificar que la captcha funcione y esté integrada correctamente.

Puedes comprobar manualmente la captcha incrustada en tu sitio.

Abre la página del formulario y verifica que la captcha se renderice.
Intenta enviar el formulario sin resolverla: el servidor debe devolver un error.
Tras una solución correcta, el formulario debe enviarse sin inconvenientes.

Para la resolución automática puedes usar herramientas como CapMonster Cloud, que reciben los parámetros de la captcha, los procesan en sus servidores y devuelven un token listo para usar. Inserta ese token en el formulario para pasar la verificación sin interacción del usuario.

Trabajar con CapMonster Cloud mediante la API suele implicar los siguientes pasos:

Creación de la tarea

En esta etapa, envía su clave API, tipo de captcha y sus parámetros. El servicio devuelve un taskId único, mediante el cual se puede obtener el resultado más adelante.

Enviar una solicitud API

En la solicitud para resolver MTCaptcha, debe especificar los siguientes parámetros:

type - MTCaptchaTask

websiteURL - Dirección de la página principal donde se resuelve el captcha.

websiteKey - Clave de MTcaptcha, transmitida en la solicitud como el parámetro “sk”.

pageAction - El parámetro action se envía en la solicitud como “act” y aparece durante la validación del token. Indíquelo solo si el valor difiere del estándar – %24.

isInvisible - Indique true si el captcha es invisible, es decir, si tiene un campo oculto para la confirmación. Si se sospecha actividad de bots, se realiza una verificación adicional.

Consulta más detalles sobre los parámetros y cómo recopilarlos automáticamente antes de enviar una tarea en la documentación de CapMonster Cloud.

Endpoint para enviar la tarea:

https://api.capmonster.cloud/createTask

Ejemplo de solicitud:

{
  "clientKey": "API_KEY",
  "task": 
  {
    "type": "MTCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websiteKey": "MTPublic-abCDEFJAB",
    "isInvisible": false,
    "pageAction": "login"
  }
}

Respuesta:

{
  "errorId":0,
  "taskId":407533072
}

Recepción del resultado

Tras crear la tarea, consulta periódicamente el estado de la solución.

Dirección para recibir el resultado:

https://api.capmonster.cloud/getTaskResult

Ejemplo de solicitud:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respuesta:

{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "v1(155506dc,c8c2e356,MTPublic-abCDEFJAB,70f03532a53...5FSDA**)"
  },
  "status": "ready"
}

Colocar el token en la página

El token obtenido puede insertarse en un campo oculto del formulario o usarse para llamar una función JavaScript en el sitio para confirmar la solución. Después de esto, el servidor aceptará el formulario como correctamente completado. Para automatización y pruebas, son útiles Puppeteer, Selenium o Playwright, que permiten emular acciones del usuario, insertar tokens y enviar formularios.

Reconocimiento de MTCaptcha usando bibliotecas listas para usar

El servicio CapMonster Cloud proporciona bibliotecas listas para trabajar cómodamente en Python, JavaScript (Node.js) y C#.

Python

JavaScript

Resolver, insertar token y enviar formulario

Ejemplo en Node.js para el ciclo completo de reconocimiento de captcha en su página web. Enfoques posibles: usar solicitudes HTTP para obtener HTML y parámetros del captcha, enviar la respuesta y procesar el resultado; o usar herramientas de automatización (como Playwright) — abrir la página, esperar el captcha, enviar parámetros (para pruebas se pueden enviar datos correctos o incorrectos), obtener el resultado a través del cliente de CapMonster Cloud, insertar el token en el formulario y ver el resultado.


  // npm install playwright @zennolab_com/capmonstercloud-client
import { chromium } from 'playwright';
import { CapMonsterCloudClientFactory, ClientOptions, MTCaptchaRequest } from '@zennolab_com/capmonstercloud-client';

const API_KEY = 'YOUR_API_KEY';
const TARGET_URL = 'https://example.com';

async function main() {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

 
  let websiteKey = null;
  page.on('request', request => {
    const url = request.url();
    if (url.startsWith('https://service.mtcaptcha.com/mtcv1/api/getchallenge.json')) {
      const params = new URL(url).searchParams;
      const sk = params.get('sk');
      if (sk) {
        websiteKey = sk;
        console.log('Extracted websiteKey (sk):', websiteKey);
      }
    }
  });

  
  await page.goto(TARGET_URL, { waitUntil: 'networkidle' });

  if (!websiteKey) {
    console.error('Failed to extract websiteKey (sk) from the page');
    await browser.close();
    return;
  }

  
  const client = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: API_KEY })
  );

  
  const mtcaptchaRequest = new MTCaptchaRequest({
    websiteURL: TARGET_URL,
    websiteKey: websiteKey,
    isInvisible: false,
    pageAction: 'login'
  });

  // Resolución de captcha
  const result = await client.Solve(mtcaptchaRequest);

  
  const verifiedToken = typeof result?.solution?.value === 'string'
    ? result.solution.value
    : JSON.stringify(result.solution.token);

  console.log('VerifiedToken:', verifiedToken);

  
  // Insertar token y enviar formulario (reemplace con el selector requerido)
  await page.evaluate((token) => {
    const input = document.querySelector('#mtcaptcha-verifiedtoken-1');
    if (input) input.value = token;
  }, verifiedToken);

  console.log('Token inserted into input');

  
  // await page.click('button[type="submit"]');

  await page.waitForTimeout(5000);

  await browser.close();
}

main().catch(err => {
  console.error('An error occurred:', err);
});

También hay una excelente opción para probar el reconocimiento de captchas usando la extensión de navegador CapMonster Cloud, que permite verificar rápidamente el funcionamiento del captcha directamente en la página y seguir el proceso en tiempo real sin escribir código — disponible para Chrome y Firefox.

Cómo conectar MTCaptcha a su sitio web

Para orientarse con confianza en la funcionalidad del captcha en su sitio, entender su lógica, reconectarlo o reconfigurarlo, le recomendamos estudiar esta sección. Describe el proceso de integración — ayudándole a comprender rápidamente todos los detalles.

1. Regístrese o inicie sesión en su cuenta de MTCaptcha.

2. Después del registro, agregue su sitio web. Recibirá dos claves.

Site Key — clave pública para el frontend, para mostrar el widget.
Private Key — clave privada para el servidor, para verificar soluciones de captcha. Almacénela solo en el servidor, no la pase al cliente.

Ejemplo:

3. Configure la parte del cliente de MTCaptcha:

Inserte el código en el <head> de la página.

Reemplace <YOUR SITE KEY> con su Site Key obtenida en el panel de MTCaptcha.


  <head>
  <script>
    var mtcaptchaConfig = {
      sitekey: "<YOUR SITE KEY>"
    };
  
    (function() {
      var mt_service = document.createElement('script');
      mt_service.async = true;
      mt_service.src = 'https://service.mtcaptcha.com/mtcv1/client/mtcaptcha.min.js';
      (document.head || document.body).appendChild(mt_service);
  
      var mt_service2 = document.createElement('script');
      mt_service2.async = true;
      mt_service2.src = 'https://service2.mtcaptcha.com/mtcv1/client/mtcaptcha2.min.js';
      (document.head || document.body).appendChild(mt_service2);
    })();
  </script>
</head>

Agregue el contenedor de captcha en el <body>

Donde quiera mostrar el captcha (por ejemplo, dentro de un formulario):

<div class="mtcaptcha"></div>

El widget se cargará automáticamente.

Puede usar los SDK y plugins listos para una integración rápida:

SDK del lado del servidor: Java, Node.js, PHP
SDK del lado del cliente: React, React Native, Vue
Plugins CMS: WordPress, Drupal

MTCaptcha también ofrece una conveniente página demo donde puede probar y configurar la protección antes de implementarla en su sitio web.

4. Trabajo con el lado del servidor. Obtenga Verified-Token en el cliente.

A través de un campo oculto del formulario:

<input type="hidden" name="mtcaptcha-verifiedtoken" />

O mediante JS:

mtcaptcha.getVerifiedToken() / mtcaptchaVerifiedCallback(status)

Envíe el token al servidor junto con el formulario o la solicitud.

Verifique el token a través de la API (validación del servidor):

GET https://service.mtcaptcha.com/mtcv1/api/checktoken?privatekey=<PRIVATE_KEY>&token=<TOKEN>

privatekey — su clave privada (solo en el servidor)
token — token del cliente

URL alternativa para servidores con firewall:

https://service2.mtcaptcha.com/mtcv1/api/checktoken

Procesar respuesta:

success: true → captcha aprobado, continuar con el procesamiento.

Ejemplo


{
  "success": true,
  "tokeninfo": {
    "v": "1.0",
    "code": 201,
    "codeDesc": "valid:captcha-solved",
    "tokID": "ae1e60a1e249c217cb7b05c4dba8dd0d",
    "timestampSec": 1552185983,
    "timestampISO": "2019-03-10T02:46:23Z",
    "hostname": "some.example.com",
    "isDevHost": false,
    "action": "",
    "ip": "10.10.10.10"
  }
}

success: false → error (token caducado, reutilizado, etc.)

Cada verifiedToken es válido por unos minutos y solo puede verificarse una vez a través de la API CheckToken, evitando la reutilización. Después de recibir el token, el servidor debe verificarlo a tiempo — el widget MTCaptcha garantiza al menos 50 segundos para la validación.

Ejemplo simple usando el módulo MTCaptcha en Node.js


const { MTCaptcha } = require('mtcaptcha');

const PRIVATE_KEY = 'YOUR_PRIVATE_KEY';
const tokenFromClient = 'TOKEN';

const mt = new MTCaptcha(PRIVATE_KEY, tokenFromClient);

mt.verify((result) => {
  if (result.success) {
    console.log('Captcha passed!', result.tokeninfo);
  } else {
    console.error('Captcha failed:', result.fail_codes || result.error);
  }
});

Para un estudio detallado de las capacidades de MTCaptcha — personalización del widget, configuración cliente/servidor, integración con frameworks y otros aspectos — consulte la documentación oficial.

Posibles errores y depuración

Sitio o clave inválidos

El captcha no se carga o el servidor devuelve invalid-privatekey o privatekey-mismatch-token. Asegúrese de usar el par correcto de sitekey y privatekey.

Token ausente o inválido

Errores missing-input-token, invalid-token, bad-request. Verifique que el valor del token se envíe al servidor y no sea modificado.

Token caducado (token-expired)

El token es válido por un tiempo limitado (usualmente ~120 segundos), después del cual debe obtenerse nuevamente.

Reverificación del token (token-duplicate-cal)

El token solo se puede verificar una vez — esto protege contra ataques de repetición.

Clave caducada o desactivada (expired-sitekey-or-account)

Asegúrese de que las claves estén vigentes y la cuenta activa.

Para diagnóstico, active el registro de solicitudes y muestre los fail_codes para comprender la causa del error.

Pruebas de resistencia de la protección

Solicitud sin token debe devolver un error (missing-input-token o similar).

Pruebas de carga (por ejemplo, k6 o JMeter): Bajo alta carga, la interfaz del captcha debe funcionar correctamente y el servidor verificar tokens de manera estable.

Comprobación de token repetido o caducado debe devolver el fail_code correspondiente, por ejemplo token-duplicate-cal o token-expired.

Consejos de seguridad y optimización

Guarde la <b>privatekey solo en el servidor</b>; no la envíe al cliente.

Guarde la privatekey solo en el servidor; no la envíe al cliente.

Registre los <b>fail_codes</b> para rastrear las causas de errores y analizar intentos de evasión de seguridad.

Registre los fail_codes para rastrear las causas de errores y analizar intentos de evasión de seguridad.

Incluya en el formulario enlaces a la <b>Política de Privacidad</b> y los <b>Términos de Uso</b> si así lo requiere la política de su plataforma.

Incluya en el formulario enlaces a la Política de Privacidad y los Términos de Uso si así lo requiere la política de su plataforma.

Conclusión

Si has heredado un sitio web que ya tiene un captcha u otro sistema de protección instalado y no tienes acceso al código, no pasa nada. Identificar qué tecnología se está utilizando es bastante sencillo. Para comprobar que todo funciona correctamente, puedes usar el servicio de reconocimiento CapMonster Cloud en un entorno de pruebas aislado, para asegurarte de que el mecanismo de procesamiento de tokens y la lógica de verificación funcionan correctamente.

En el caso de MTCaptcha, basta con detectar el sistema, analizar su comportamiento y confirmar que la protección funciona correctamente. En el artículo hemos mostrado cómo identificar MTCaptcha y dónde encontrar las instrucciones para su integración o reconfiguración, de modo que puedas mantener la protección con confianza y controlar su funcionamiento.

Enlaces útiles

Documentación de MTCaptcha →

Documentación de CapMonster Cloud (trabajo con MTCaptcha) →

SDK y plugins para integración rápida de MTCaptcha →

Página demo (Code Builder) de MTCaptcha →

La extensión de navegador de CapMonster Cloud está disponible para Chrome y Firefox. La guía completa de instalación y uso está disponible aquí.

MTCaptcha y CapMonster Cloud

MTCaptcha
y CapMonster Cloud