Open in app

Sign in

Write

Sign in

Comparemos Turnstile con reCAPTCHA. Ambos compiten para eliminar spam procedente de tu sitio web.

Allan Tépper
6 min readFeb 5, 2024

¿Cuál debería protegerte del spam procedente de los formularios de tu sitio web? ¿reCAPTCHA o Turnstile?

Recientemente publiqué Eliminemos el spam de los formularios web: trampa, captcha de imagen, matemáticas o reCAPTCHA con cumplimiento RGPD donde el reCAPTCHA de Google fue el método más potente. Desde entonces, profundicé más con la solución Turnstile de Cloudflare. Aunque actualmente no uso ningún otro servicio de Cloudflare en ninguno de los sitios web que administro, ya instalé Turnstile en varios sitios web, donde en algunos Turnstile llegó a reemplazar a reCAPTHA. A continuación, compararé las dos soluciones en cuanto a su nivel de invasividad, costo y percepción del internauta (incluida la perspectiva de privacidad). También aclararé la integración de Turnstile con Solid Security, un maravilloso complemento que cubrí por primera vez en Ingreso sin contraseña a tu sitio web: ¿Ya utilizas las «passkeys» o los enlaces mágicos?. Finalmente, cubriré el comportamiento lingüístico de Turnstile en comparación con el de reCAPTCHA.

Evitemos publicar una dirección de correo electrónico desnuda en tu sitio web

Aunque lo he mencionado en artículos anteriores, debo continuar recordando a los lectores veteranos (e informar a los nuevos) que, por varias razones, las mejores prácticas indican que es mejor no publicar ninguna dirección de correo electrónico desnuda en tu sitio web. La única excepción es un caso muy especial contemplado en este artículo:

Apple sorprende a los autores/productores de contenido con nuevos requisitos de sitio web para poder seguir vendiendo en Europa (ilustrado arriba) desde que Apple nos obligó a publicar una dirección de correo electrónico desnuda en nuestro sitio web (y también un número de teléfono desnudo). Cubrí cómo codificar la dirección de correo electrónico desnuda para evitar que los spambots la recopilen, a pesar de sus otras desventajas.

La invasividad de Turnstile comparada con la de reCAPTHA

El reCAPTHA de Google agrega galletas informáticas («cookies») adicionales y al parecer, incluso fuentes de Google al sitio web. Esa versión de reCAPTCHA también requiere que el visitante haga clic en el cuadro que dice «No soy un robot». Por otro lado, Turnstile no agrega ni utiliza galletas informáticas ni agrega fuentes adicionales. Aunque tanto Turnstile como reCAPTHA requieren un complemento en los sitios de WordPress para funcionar, si el sitio web utiliza el complemento Solid Security Pro por otros motivos, entonces el complemento Solid Security Pro facilita el uso de Turnstile por sí solo, ahorrando la necesidad de un complemento adicional. Cubrí por primera vez el complemento Solid Security Pro en Ingreso sin contraseña a tu sitio web: ¿Ya utilizas las «passkeys» o los enlaces mágicos?. Más adelante en este artículo, habrá más detalles al respecto.

Arriba, se ve un GIF animado creado por Cloudflare para demostrar cómo figuraría Turnstile para tus visitantes. (Es un ejemplo en inglés).

El costo

Aunque cuando publiqué ese artículo el 22 de enero del 2024, el reCAPTHA de Google era gratuito hasta un millón de evaluaciones, el 29 de enero recibí un mensaje automatizado por correo electrónico de Google que indicaba que a partir del 1 de abril del 2024, cobrarán por una cantidad mucho menor de evaluaciones, a excepción del recién denominado reCAPTHA Lite, que continuará ofreciendo un servicio sin costo para hasta 10.000 evaluaciones por mes. Google dice que continuará brindando 1 millón de evaluaciones reCAPTCHA Enterprise sin costo por mes a bibliotecas, organizaciones benéficas y sin fines de lucro elegibles. Por otro lado, Turnstile de Cloudflare sigue siendo gratuito.

La percepción de los internautas (incluida una perspectiva de privacidad)

La versión de reCAPTURE de Google que cubrí el 22 de enero de 2024 requiere que el visitante del sitio web haga clic en un cuadro para indicar que no es un robot. Por otro lado, en la mayoría de los casos, el Turnstile de Cloudflare no pide al usuario que haga clic en nada. En la mayoría de los casos, Turnstile simplemente indica que aprobó exitosamente al visitante. Sólo en casos excepcionales (cuando Turnstile sospecha algo inusual) le pide al internauta que haga clic en una casilla.

Además, los visitantes inquietos por la privacidad saben que Google es una empresa de publicidad que utiliza nuestra información para ese fin. Incluso los visitantes más informados y preocupados por la privacidad saben que Google (así como AOL, Apple, Microsoft, Skype, Yahoo y YouTube) participan oficialmente en PRISM (también conocido como SIGAD US-984XN). PRISM es un programa bajo el cual la Agencia de Seguridad Nacional (NSA) de los Estados Unidos recopila continuamente las comunicaciones internéticas de varias compañías de los EE. UU.

Por otro lado, Cloudflare es una empresa de privacidad y seguridad. Mathew Prince, cofundador y director ejecutivo de Cloudflare, afirma:

«En CloudFlare, nunca nos han propuesto que participemos en PRISM ni en ningún otro programa similar. De vez en cuando recibimos citaciones y órdenes judiciales. Un ser humano de nuestro equipo revisa cada una de estas solicitudes manualmente. Aquellas veces que determinamos que una solicitud es demasiado amplia, nos resistimos para limitar el alcance de la solicitud. Siempre que es posible, revelamos a todos los clientes afectados el hecho de que hemos recibido una citación u orden judicial y les damos la oportunidad de impugnarla antes de responder».

Fuente: aquí.

Integración con Solid Security

Como se explica en detalle en mi Ingreso sin contraseña a tu sitio web: ¿Ya utilizas las «passkeys» o los enlaces mágicos?, Solid Security Pro (un complemento prémium/pago, disponible con un descuento sustancial en TecnoTur) junto con Imunify360 (gratis con todas las cuentas de hospedaje en TecnoTur) permite los inicios de sesión sin contraseña a través de passkeys o enlaces mágicos.

Ahora que Solid Security Pro cuenta con su integración directa con Turnstile, Solid Security Pro puede ahorrarnos un complemento e interoperar de manera aún más fluida. Para citarlos:

«Si activas passkeys o enlaces mágicos con Turnstile mediante Solid Security Pro, no solo tendrás un sitio muy seguro: ¡nunca más necesitarás ingresar una contraseña o responder un desafío de CAPTCHA! Es un maravilloso paso adelante y el futuro de la seguridad en línea.»

Para obtener más información, consulta mi Wordpress security + multi-backups.

Comportamiento idiomático

Dado que mi empresa TecnoTur desarrolla y mantiene muchos sitios web que están en exclusivamente en castellano, bilingües o sólo en inglés, he observado un comportamiento contrastante entre Turnstile y reCAPTHA:

Si el navegador de tu visitante está configurado con el inglés como idioma principal, arriba se muestra cómo probablemente figurará Turnstile.

Si el navegador de tu visitante está configurado con el castellano como idioma principal, arriba se muestra cómo probablemente figurará Turnstile.

Turnstile de Cloudflare muestra su mensaje en el idioma establecido como idioma principal en el navegador del visitante (independientemente del idioma de un sitio web en particular). Por otro lado, el reCAPTHA de Google muestra su mensaje en el idioma designado del sitio web (independientemente de la configuración del navegador). Ninguno de los dos es un factor decisivo. Es simplemente interesante notarlo.

Conclusiones

Para casi cualquier sitio web donde el spam a través del formulario de contacto se ha convertido en un problema, Turnstile de Cloudflare es una potente solución con mucho menos desventajas comparado con el reCAPTCHA de Google. Además, Turnstile también puede proteger el inicio de sesión y cuando los visitantes comenten (si tu sitio web lo permite). La integración con Solid Security puede ahorrarnos un complemento.

Read this article in English

Comparing Cloudflare Turnstile vs reCAPTHA — Why I switched for web form spam prevention

Divulgación para la FTC

Ninguna empresa mencionada en este artículo paga figurar aquí. Algunas de las empresas mencionadas anteriormente han contratado a Tépper y/o TecnoTur LLC para realizar consultorías y/o traducciones/localizaciones/transcreaciones. Allan Tépper es el director de TecnoTur LLC. Algunos enlaces a terceros enumerados en este artículo y/o en esta página web pueden beneficiar indirectamente a TecnoTur LLC a través de programas de afiliados. Las opiniones de Allan Tépper son de él mismo. Allan Tépper no es responsable del mal uso o mala comprensión de la información que comparte.

Spam
Formulario Web
Recaptcha
Cloudflare
Turnstile

--

--

Allan Tépper

Written by Allan Tépper

114 Followers

Author, consultant, pro audio/video specialist, tech journalist, broadcaster, translator & language activist. AllanTepper.com — en castellano en AllanTépper.soy

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams