Prosopo Procaptcha
y CapMonster Cloud

Solución de captcha, instalación en el sitio web y pruebas.

¿Heredaste un sitio con una captcha u otra capa de protección pero sin acceso al código fuente? Entonces es normal preguntarse: ¿qué solución está instalada, está configurada correctamente y cómo se puede probar?

En este artículo hemos intentado responder a todas las preguntas clave. Para empezar a resolver la tarea, primero hay que determinar qué sistema de protección se está utilizando. Para ello, puedes consultar la lista de captchas y sistemas de protección antibot más populares, donde se muestran ejemplos visuales y señales clave que te ayudarán a identificar rápidamente con qué estás tratando.

Si descubres que tu sitio web utiliza Prosopo Procaptcha, el siguiente paso será analizar con más detalle sus propiedades y su funcionamiento. En este mismo artículo también puedes consultar la guía de integración de Prosopo Procaptcha para comprender por completo cómo funciona en tu sitio. Esto te permitirá no solo entender la protección actual, sino también planificar correctamente su mantenimiento.

Qué es Procaptcha

Procaptcha es un sistema de protección de Prosopo diseñado para prevenir spam y acciones automatizadas que puedan dañar un sitio web. Ayuda a distinguir usuarios reales de bots, garantizando la seguridad y estabilidad del sitio. Si el sistema duda de la autenticidad de un visitante, ofrece una tarea de verificación (por ejemplo, seleccionar imágenes específicas). Los usuarios reales pueden seguir utilizando el sitio de manera cómoda y sin interrupciones.

Ejemplos de Prosopo Procaptcha

Frictionless CAPTCHA

Captcha invisible. Determina automáticamente si el visitante es un usuario real o un bot. Si el usuario se comporta de manera natural (navegador normal, sin automatización), el captcha se resuelve de forma imperceptible. Si se detectan signos de bot, se muestra al usuario una tarea adicional de imagen.

Proof of Work (PoW) CAPTCHA

Captcha basado en cálculo, es decir, hace que tu dispositivo resuelva una pequeña tarea computacional en segundo plano. El objetivo principal es detener bots masivos y spam, ya que los sistemas automatizados deben gastar tiempo y recursos en completar la tarea. Para los humanos, generalmente es casi imperceptible.

Image CAPTCHA

Captcha visual clásico. Muestra imágenes y pide seleccionar las que cumplen la condición (por ejemplo, 'selecciona todos los caballos').

Cómo resolver Procaptcha a través de CapMonster Cloud

Al probar formularios que incluyen Prosopo Procaptcha, normalmente debes verificar que la captcha funcione y esté integrada correctamente.

Puedes comprobar manualmente la captcha incrustada en tu sitio.

Abre la página del formulario y verifica que la captcha se renderice.
Intenta enviar el formulario sin resolverla: el servidor debe devolver un error.
Tras una solución correcta, el formulario debe enviarse sin inconvenientes.

Para la resolución automática puedes usar herramientas como CapMonster Cloud, que reciben los parámetros de la captcha, los procesan en sus servidores y devuelven un token listo para usar. Inserta ese token en el formulario para pasar la verificación sin interacción del usuario.

Trabajar con CapMonster Cloud mediante la API suele implicar los siguientes pasos:

Creación de la tarea

En esta etapa proporcionas tu clave API, tipo de captcha y sus parámetros. El servicio devuelve un taskId único, que luego se puede usar para obtener el resultado.

Enviar una solicitud API

La solicitud para resolver Prosopo debe incluir los siguientes parámetros:

type - ProsopoTask

websiteURL - URL completa de la página con captcha;

websiteKey - Valor del parámetro siteKey encontrado en la página.

Consulta más detalles sobre los parámetros y cómo recopilarlos automáticamente antes de enviar una tarea en la documentación de CapMonster Cloud.

Endpoint para enviar la tarea:

https://api.capmonster.cloud/createTask

Ejemplo de solicitud:


{
"clientKey": "API_KEY",
"task": {
  "type": "ProsopoTask",
  "websiteURL": "https://www.example.com",
  "websiteKey": "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
  }
}

Respuesta:

{
  "errorId":0,
  "taskId":407533072
}

Recepción del resultado

Tras crear la tarea, consulta periódicamente el estado de la solución.

Dirección para recibir el resultado:

https://api.capmonster.cloud/getTaskResult

Ejemplo de solicitud:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respuesta:


{
"errorId":0,
"status":"ready",
"solution": {
  "token": "0x00016c68747470733a2f2f70726f6e6f6465332e70726f736f706f2e696fc0354550516f4d5a454463354c704e376774784d4d7a5950547a4136..."
  }
}

Colocar el token en la página

El token obtenido puede insertarse en un campo oculto del formulario o llamarse mediante una función JS en el sitio web para confirmar la solución. Después de eso, el servidor aceptará el formulario como correctamente completado. Para automatización y pruebas, es conveniente usar Puppeteer, Selenium o Playwright para emular acciones de usuario, insertar tokens y enviar formularios.

Reconocimiento de Procaptcha usando bibliotecas listas para usar

CapMonster Cloud proporciona bibliotecas listas para trabajar de forma conveniente en Python, JavaScript (Node.js) y C#.

Python

JavaScript

Resolver captcha, insertar token y enviar formulario

Ejemplo en Node.js para el ciclo completo de reconocimiento de captcha en tu página web. Enfoques posibles: usar solicitudes HTTP para obtener el HTML y los parámetros del captcha, enviar la respuesta y procesar el resultado; o usar herramientas de automatización (por ejemplo, Playwright) — abrir la página, esperar el captcha, enviar los parámetros (para pruebas puedes enviar datos correctos o incorrectos), obtener el resultado mediante el cliente de CapMonster Cloud, insertar el token en el formulario y ver el resultado.


async function sendTokenToSite(token) {
    // URL del formulario o endpoint donde se enviará el token
    const formURL = "https://example..com/en/your-form-endpoint";

    // Ejemplo de datos del formulario
    const formData = {
        email: "example@example.com",
        password: "yourpassword",
        "procaptcha-response": token // Token de Procaptcha
    };

    try {
        const response = await fetch(formURL, {
            method: "POST",
            headers: {
                "Content-Type": "application/json", // или 'application/x-www-form-urlencoded' dependiendo del sitio
            },
            body: JSON.stringify(formData),
        });

        const result = await response.text(); // o response.json() si el servidor devuelve JSON
        console.log("Server response:", result);
    } catch (err) {
        console.error("Error sending token:", err);
    }
}

// Función principal
async function solveAndSend() {
    const client = CapMonsterCloudClientFactory.Create(
        new ClientOptions({ clientKey: API_KEY })
    );

    const prosopoRequest = new ProsopoRequest({
        websiteURL: "https://example.com/en/",
        websiteKey: "5EZU3LG31uzq1Mwi8inwqxmfvFDpj7VzwDnZwj4Q3syyxBwV"
    });

    const balance = await client.getBalance();
    console.log("Balance:", balance);

    const result = await client.Solve(prosopoRequest);
    console.log("Captcha solution:", result);

    // Enviar token al sitio
    await sendTokenToSite(result.solution); // result.solution contiene el token de Procaptcha
}

solveAndSend().catch(console.error);

También existe la opción de probar el reconocimiento de captchas usando la extensión de navegador de CapMonster Cloud, que permite verificar rápidamente el funcionamiento del captcha directamente en la página y monitorear el proceso de solución en tiempo real sin escribir código – disponible para Chrome y Firefox.

Cómo conectar Procaptcha a tu sitio web

Para comprender con confianza el funcionamiento del captcha en tu sitio, la lógica de verificación y reconectar o reconfigurar, recomendamos leer esta sección. Describe el proceso de integración de la protección y ayuda a entender todos los detalles.

También puedes integrar Procaptcha con frameworks populares (React, Angular, etc.) o instalar protección en WordPress. Más información en la documentación oficial del proyecto.

1. Obtén las claves (sitekey y secret key)

1) Ve a Portal de Prosopo.
2) Ve a Site Management
3) Haz clic en Reveal — aparecerán dos claves:
- sitekey — pública, usada en el cliente.
- secret key — privada, usar solo en el servidor.

Importante: Cada widget tiene su propio par de claves. No se pueden reutilizar en otro proyecto.

2. Agrega tu dominio

1) Ve a Account → Domains.
2) Asegúrate de que tu dominio esté listado.
3) Si pruebas localmente — agrega localhost.
4) Elimina localhost antes de producción.

3. Conecta el script de Procaptcha

Coloca la etiqueta en <head>

<script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>>

4. Opción 1: Renderizado implícito (automático) — MÁS FÁCIL

Agrega un contenedor donde el captcha aparecerá automáticamente:

<div class="procaptcha" data-sitekey="your_site_key"></div>

Generalmente dentro del formulario.

Ejemplo de formulario completo

<html>
    <head>
        <title>Procaptcha Demo</title>
        <script type="module" src="https://js.prosopo.io/js/procaptcha.bundle.js" async defer></script>
    </head>
    <body>
        <form action="" method="POST">
            <input type="text" name="email" placeholder="Email" />
            <input type="password" name="password" placeholder="Password" />
            <div class="procaptcha" data-sitekey="your_site_key"></div>
            <br />
            <input type="submit" value="Submit" />
        </form>
    </body>
</html>

Después de la verificación exitosa del captcha, se agregará un parámetro oculto:

5. Opción 2: Renderizado explícito (manual) — MÁS CONTROL

Ejemplo HTML


<html>
    <head>
        <script
            type="module"
            id="procaptcha-script"
            src="https://js.prosopo.io/js/procaptcha.bundle.js"
            async
            defer
        ></script>
    </head>
    <body>
        <div id="procaptcha-container"></div>
    </body>
</html>

Ejemplo JavaScript


document.getElementById('procaptcha-script').addEventListener('load', function () {
    function onCaptchaVerified(output) {
        console.log('Captcha verified, output: ' + JSON.stringify(output))
    }

    const captchaContainer = document.getElementById('procaptcha-container')

    window.procaptcha.render(captchaContainer, {
        siteKey: 'YOUR_SITE_KEY',
        theme: 'dark',
        callback: onCaptchaVerified,
    })
})

6. Configuración del tipo de captcha (opcional)

Se puede seleccionar explícitamente:

frictionless (por defecto)
pow
image

Por ejemplo:


<div class="procaptcha"
     data-sitekey="your_site_key"
     data-captcha-type="pow">
</div>

7. Obligatorio: verificación del token en el servidor

Después del renderizado del captcha, el servidor debe verificar la respuesta. La verificación se realiza mediante API:

POST

https://api.prosopo.io/siteverify

Contenido de la solicitud:

{
    "secret": "your_secret_key",
    "token": "PROCAPTCHA-RESPONSE"
}

8. Verificación del servidor en PHP

Ejemplo de código:


<?php
function verifyToken($token) {
    $url = 'https://api.prosopo.io/siteverify';
    $data = json_encode(["secret" => "your_secret_key", "token" => $token]);
    $options = [
        'http' => [
            'header'  => "Content-Type: application/json\r\n",
            'method'  => 'POST',
            'content' => $data,
        ],
    ];
    $context  = stream_context_create($options);
    $result = file_get_contents($url, false, $context);
    $response = json_decode($result, true);

    return $response["verified"] ?? false;
}
?>

¿Qué se considera verificación exitosa?

Si el servidor de Procaptcha devuelve:

{
    "verified": true
}

— Captcha aprobado, se puede realizar la acción protegida (por ejemplo, registrar un usuario).

Posibles errores y depuración

Clave del sitio inválida

Se utiliza una clave de sitio incorrecta o no válida. Solución: asegúrate de usar la clave correcta que puedes encontrar en el panel de Procaptcha.

URL de origen no autorizada

El dominio donde está instalado el widget no coincide con el dominio vinculado a la clave del sitio. Solución: revisa y actualiza la lista de dominios en el portal de Procaptcha.

Sesión no encontrada

Sesión no encontrada o expirada. Solución: espera a que el widget se recargue (~3 segundos) o actualiza la página. Si el error persiste, limpia la caché y las cookies del navegador o contacta al soporte.

Respuesta success=false

El token ha expirado, se ha reutilizado o no pasó la validación. Para diagnóstico, activa el registro de solicitudes y revisa el campo error en la respuesta de Procaptcha.

Pruebas de resistencia de la protección

Después de la integración, asegúrate de que el sistema realmente proteja el sitio contra acciones automatizadas.

Intenta enviar una solicitud sin resolver el captcha — el servidor debería devolver success: false.

Realiza pruebas de carga (por ejemplo, usando k6 o JMeter) a más de 100 solicitudes por segundo — el captcha debe mostrarse correctamente y el sistema de validación permanecer estable.

Verifica la respuesta del servidor ante token expirado o reutilizado — la respuesta esperada debe ser 403 Forbidden.

Consejos de seguridad y optimización

Guarde la <b>Secret Key</b> solo en el servidor. Nunca la exponga al cliente.

Guarde la Secret Key solo en el servidor. Nunca la exponga al cliente.

Registre los códigos de error <b>(error-codes)</b> para entender por qué fallaron verificaciones específicas.

Registre los códigos de error (error-codes) para entender por qué fallaron verificaciones específicas.

Agregue enlaces al final de los formularios a la <b>Política de Privacidad</b> y los <b>Términos de Uso de Procaptcha</b>, si su implementación lo requiere.

Agregue enlaces al final de los formularios a la Política de Privacidad y los Términos de Uso de Procaptcha, si su implementación lo requiere.

Conclusión

Si has heredado un sitio web que ya tiene un captcha u otro sistema de protección instalado y no tienes acceso al código, no pasa nada. Identificar qué tecnología se está utilizando es bastante sencillo. Para comprobar que todo funciona correctamente, puedes usar el servicio de reconocimiento CapMonster Cloud en un entorno de pruebas aislado, para asegurarte de que el mecanismo de procesamiento de tokens y la lógica de verificación funcionan correctamente.

En el caso de Prosopo Procaptcha, basta con detectar el sistema, analizar su comportamiento y confirmar que la protección funciona correctamente. En el artículo hemos mostrado cómo identificar Prosopo Procaptcha y dónde encontrar las instrucciones para su integración o reconfiguración, de modo que puedas mantener la protección con confianza y controlar su funcionamiento.

Enlaces útiles

Documentación de Procaptcha →

Portal de Prosopo →

Documentación de CapMonster Cloud (trabajo con Procaptcha) →

La extensión de navegador de CapMonster Cloud está disponible para Chrome y Firefox. La guía completa de instalación y uso está disponible aquí.

Prosopo Procaptcha y CapMonster Cloud

Cómo resolver Procaptcha a través de CapMonster Cloud

Prosopo Procaptcha
y CapMonster Cloud