reCAPTCHA v2
y CapMonster Cloud

Resolución de captchas, integración en el sitio y pruebas de extremo a extremo.

¿Heredaste un sitio con una captcha u otra capa de protección pero sin acceso al código fuente? Entonces es normal preguntarse: ¿qué solución está instalada, está configurada correctamente y cómo se puede probar?

En este artículo hemos intentado responder a todas las preguntas clave. Para empezar a resolver la tarea, primero hay que determinar qué sistema de protección se está utilizando. Para ello, puedes consultar la lista de captchas y sistemas de protección antibot más populares, donde se muestran ejemplos visuales y señales clave que te ayudarán a identificar rápidamente con qué estás tratando.

Si descubres que tu sitio web utiliza reCAPTCHA V2, el siguiente paso será analizar con más detalle sus propiedades y su funcionamiento. En este mismo artículo también puedes consultar la guía de integración de reCAPTCHA V2 para comprender por completo cómo funciona en tu sitio. Esto te permitirá no solo entender la protección actual, sino también planificar correctamente su mantenimiento.

Qué es Google reCAPTCHA v2

reCAPTCHA v2 es un sistema de protección de Google diseñado para bloquear el spam y otras acciones automatizadas que pueden dañar un sitio web. Ayuda a distinguir a los visitantes reales de los bots y mantiene tu recurso web estable y seguro.

Ejemplos de reCAPTCHA V2

reCAPTCHA v2

El captcha clásico con casilla donde el usuario debe confirmar que es humano. En algunos casos aparece una ventana con un reto adicional, por ejemplo elegir ciertas imágenes.

reCAPTCHA v2 Invisible

Una versión invisible de la captcha que valida automáticamente, sin interacción del usuario y sin necesidad de hacer clic en la casilla.

reCAPTCHA v2 Enterprise

Versión empresarial con controles adicionales y funciones de seguridad.

Cómo resolver reCAPTCHA v2 con CapMonster Cloud

Al probar formularios que incluyen reCAPTCHA V2, normalmente debes verificar que la captcha funcione y esté integrada correctamente.

Puedes comprobar manualmente la captcha incrustada en tu sitio.

Abre la página del formulario y verifica que la captcha se renderice.
Intenta enviar el formulario sin resolverla: el servidor debe devolver un error.
Tras una solución correcta, el formulario debe enviarse sin inconvenientes.

Para la resolución automática puedes usar herramientas como CapMonster Cloud, que reciben los parámetros de la captcha, los procesan en sus servidores y devuelven un token listo para usar. Inserta ese token en el formulario para pasar la verificación sin interacción del usuario.

Trabajar con CapMonster Cloud mediante la API suele implicar los siguientes pasos:

Creación de la tarea

En esta etapa envías tu clave API, el tipo de captcha y sus parámetros. El servicio devuelve un taskId único que luego utilizarás para obtener el resultado.

Enviar una solicitud API

Tu solicitud para resolver reCAPTCHA v2 debe incluir los siguientes parámetros:

type - RecaptchaV2Task;

websiteURL - la dirección de la página donde aparece la captcha;

websiteKey - el sitekey indicado en tu página con la captcha.

Consulta más detalles sobre los parámetros y cómo recopilarlos automáticamente antes de enviar una tarea en la documentación de CapMonster Cloud.

Endpoint para enviar la tarea:

https://api.capmonster.cloud/createTask

Ejemplo de solicitud:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "RecaptchaV2Task",
    "websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
    "websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
  }
}

Respuesta:

{
  "errorId":0,
  "taskId":407533072
}

Recepción del resultado

Tras crear la tarea, consulta periódicamente el estado de la solución.

Dirección para recibir el resultado:

https://api.capmonster.cloud/getTaskResult

Ejemplo de solicitud:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Respuesta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "gRecaptchaResponse": "03AFcWeA66ZARdA5te7acD9vSwWE2hEQ2-B2aqFxm455iMA-g-Jis…"
  }
}

Colocar el token en la página

El token devuelto (el valor "gRecaptchaResponse") puede insertarse en un campo oculto del formulario o pasarse a una función JS en tu sitio para confirmar la solución. Después de eso el servidor aceptará el formulario como válido. Para automatizar el flujo usa Puppeteer, Selenium o Playwright para emular acciones del usuario, insertar tokens y enviar formularios.

En lugar de recibir un token puedes utilizar el método de resolución mediante clics. Consulta la documentación de CapMonster Cloud para más detalles.

Resolución de reCAPTCHA v2 con bibliotecas listas

CapMonster Cloud ofrece SDK para trabajar cómodamente con Python, JavaScript (Node.js) y C#.

Python

JavaScript

Resolver, insertar el token y enviar el formulario

Ejemplo en Node.js que cubre todo el ciclo de resolución de captcha en tu página. Posibles enfoques: usar peticiones HTTP para obtener el HTML y los parámetros de la captcha, enviar la respuesta y procesar el resultado; o recurrir a herramientas de automatización (por ejemplo, Playwright) para abrir la página, esperar la captcha, enviar parámetros (puedes probar con datos válidos o inválidos), obtener el resultado mediante el cliente de CapMonster Cloud, insertar el token en el formulario y ver el resultado.

// npm install playwright @zennolab_com/capmonstercloud-client
// npx playwright install chromium


const { chromium } = require('playwright');
const { CapMonsterCloudClientFactory, ClientOptions, RecaptchaV2Request } = require('@zennolab_com/capmonstercloud-client');

(async () => {
  const browser = await chromium.launch({ headless: false });
  const page = await browser.newPage();

  const TARGET_URL = 'https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high';
  const WEBSITE_KEY = '6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd';
  const CMC_API_KEY = 'your_capmonster_cloud_api_key';

  const cmc = CapMonsterCloudClientFactory.Create(new ClientOptions({ clientKey: CMC_API_KEY }));

  await page.goto(TARGET_URL, { waitUntil: 'domcontentloaded' });

  // Resolución de la captcha
  const solution = await cmc.Solve(new RecaptchaV2Request({ websiteURL: TARGET_URL, websiteKey: WEBSITE_KEY }));
  const token = solution.solution.gRecaptchaResponse;

  // Inserta el token y envía el formulario (sustituye por el selector que necesites)
  await page.evaluate((t) => {
    const ta = document.querySelector('textarea#g-recaptcha-response');
    if (ta) ta.value = t;
    document.querySelector('form.formular')?.submit();
  }, token);

  console.log('¡Captcha resuelta y formulario enviado!');
})();

También puedes probar el reconocimiento de captchas con la extensión de navegador de CapMonster Cloud, que te permite comprobar el comportamiento de la captcha directamente en la página y seguir el proceso en tiempo real sin escribir código. Disponible para Chrome y Firefox.

Cómo conectar reCAPTCHA v2 a tu sitio

Para entender cómo opera la captcha en tu sitio, conocer su lógica de validación y volver a conectarla o reconfigurarla, revisa esta sección. Describe el proceso de configuración de la protección para que puedas cubrir rápidamente cada detalle.

1. Ve a la página de la consola de administración de reCAPTCHA.

2. Registra un nuevo sitio.

Elige el tipo de captcha — reCAPTCHA v2 (casilla con desafíos o la variante invisible).

HowTo Connect image 1

3. Obtén dos claves:

Site key — clave pública (se usa en el frontend);
Secret key — clave privada (se usa en el servidor para la verificación).

HowTo Connect image 2

Abre la configuración para especificar los dominios que pueden usar reCAPTCHA o seleccionar el nivel de seguridad, del más simple al más confiable.

4. Ejemplo de código del lado del cliente. Formulario HTML con reCAPTCHA v2 (puedes pegar este fragmento en el cuerpo de la página):

Formulario HTML con reCAPTCHA v2

Para el widget con casilla:

<html>
  <head>
    <title>reCAPTCHA demo</title>
    <script src="https://www.google.com/recaptcha/api.js" async defer></script>
  </head>
  <body>
    <form action="submit" method="POST">
      <div class="g-recaptcha" data-sitekey="your_site_key"></div>
      <br/>
      <input type="submit" value="Submit">
    </form>
  </body>
</html>

Este código carga la biblioteca de Google reCAPTCHA y crea un formulario que envía datos mediante POST. <div class="g-recaptcha" data-sitekey="your_site_key"></div> muestra el widget reCAPTCHA v2 con tu clave pública. Al hacer clic en “Submit”, el formulario se envía junto con el token g-recaptcha-response para validarlo en el backend.

Para la reCAPTCHA v2 invisible:

<html>
  <head>
    <title>reCAPTCHA demo</title>
     <script src="https://www.google.com/recaptcha/api.js" async defer></script>
     <script>
       function onSubmit(token) {
         document.getElementById("demo-form").submit();
       }
     </script>
  </head>
  <body>
    <form id="demo-form" action="?" method="POST">
      <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
      <br/>
    </form>
  </body>
</html>

El botón <button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> ejecuta automáticamente la captcha invisible, genera un token y llama a onSubmit.

La función onSubmit(token) recibe el token g-recaptcha-response y envía el formulario a tu servidor para su verificación.

A diferencia del widget con casilla, el usuario no ve la captcha; la comprobación se realiza en segundo plano.

Añade campos ocultos <input type="hidden"> si necesitas guardar el token u otros datos para enviarlos más tarde mediante JS. Consulta la documentación de la captcha para más detalles.

5. Valida la respuesta en el lado del servidor.

Ejemplo en PHP

Comprobar el método y leer los datos

?php
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    http_response_code(405);
    exit('Método no permitido');
}

// Obtención del token de reCAPTCHA
$token = $_POST['g-recaptcha-response'] ?? '';
$secret = 'YOUR_SECRET_KEY';

if (!$token) {
    exit('Captcha no aprobada');
}

Verificar la captcha a través de Google

$response = file_get_contents(
    "https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$token"
);
$result = json_decode($response, true);

if (!empty($result['success'])) {
    echo "<h3>¡Formulario enviado correctamente!</h3>";
} else {
    echo "Error de verificación de la captcha.";
}
?>

Posibles errores y depuración

Sitio o clave no válidos

La captcha no se carga o devuelve invalid-input-secret.

Tiempo de espera excedido

El servidor no recibió la respuesta a tiempo. Aumenta el tiempo de espera.

Token vacío

Se produjo un error al pasar el resultado a la página.

Respuesta success=false

El token está caducado, se reutilizó o fue falsificado. Activa el registro de solicitudes y revisa el campo error-codes devuelto por Google.

Pruebas de resistencia de la protección

Después de la integración, asegúrate de que el sistema realmente proteja el sitio contra acciones automatizadas.

Intente enviar una petición sin resolver el captcha: el servidor debería devolver success: false.

Realice una prueba de carga (por ejemplo, con k6 o JMeter) a una velocidad superior a 100 solicitudes por segundo: el captcha debe mostrarse correctamente y el sistema de validación debe seguir siendo estable.

Compruebe la respuesta del servidor con un token caducado o reenviado: la respuesta esperada debe ser 403 Forbidden.

Consejos de seguridad y optimización

Guarde la Secret Key solo en el servidor; no la exponga en la parte del cliente.

Registre los códigos de error (error-codes) para entender por qué han fallado comprobaciones concretas.

Añada en la parte inferior del formulario enlaces a la Política de privacidad y a los Términos de uso de Google, tal y como exige la licencia.

Conclusión

Si has heredado un sitio web que ya tiene un captcha u otro sistema de protección instalado y no tienes acceso al código, no pasa nada. Identificar qué tecnología se está utilizando es bastante sencillo. Para comprobar que todo funciona correctamente, puedes usar el servicio de reconocimiento CapMonster Cloud en un entorno de pruebas aislado, para asegurarte de que el mecanismo de procesamiento de tokens y la lógica de verificación funcionan correctamente.

En el caso de reCAPTCHA V2, basta con detectar el sistema, analizar su comportamiento y confirmar que la protección funciona correctamente. En el artículo hemos mostrado cómo identificar reCAPTCHA V2 y dónde encontrar las instrucciones para su integración o reconfiguración, de modo que puedas mantener la protección con confianza y controlar su funcionamiento.

Enlaces útiles

Documentación de reCAPTCHA v2 →Documentación de CapMonster Cloud (trabajo con reCAPTCHA v2) →Resolver reCAPTCHA v2 con CapMonster Cloud →Cómo resolver reCAPTCHA v2 en JavaScript con Selenium y CapMonster Cloud →Cómo resolver reCAPTCHA v2 en Python con Selenium y CapMonster Cloud →Cómo resolver reCAPTCHA v2 en C# con Selenium y CapMonster Cloud →

La extensión de navegador de CapMonster Cloud está disponible para Chrome y Firefox. La guía completa de instalación y uso está disponible aquí.

reCAPTCHA v2 y CapMonster Cloud

Cómo resolver reCAPTCHA v2 con CapMonster Cloud

reCAPTCHA v2
y CapMonster Cloud