Caputchin
Todas las funciones
Verificación

Tres capas de defensa, cuatro superficies, ningún bot gana

La verificación es el núcleo de Caputchin. Las puertas trabajan juntas; las superficies son cómo las enchufas a tu stack. El camino por defecto es el widget más una llamada de verify desde tu backend. Las otras superficies están ahí cuando el camino por defecto no encaja.

Cómo fluye una verificación.

El visitante abre tu página. El widget ejecuta las puertas. Un token firmado cruza hacia tu backend. Tu backend nos pide que lo confirmemos.

  1. VisitanteAbre tu página
  2. Widget de CaputchinCarga en tu página
  3. Anti-trampas de videojuegoCorre en un iframe aislado
  4. Tu backendRecibe el token envuelto
  5. /siteverifyCaputchin confirma el token
La misma forma tanto si despliegas el widget, llamas a la API directamente o usas la verificación alojada. El token envuelto es lo único que cruza del navegador del visitante a tu backend.
Matriz de amenazas
Todos los planes

Cada capa encarece un ataque distinto.

Ninguna capa por sí sola pretende vencer todos los ataques. El punto es la composición: para cuando una petición llega al juego, ya ha pagado el impuesto de cada puerta que tenía delante. Mapa honesto abajo.

  • Scripts de curl y fetch
    Scripts HTTP pelados que golpean tu endpoint directamente.
    Capas que lo responden
    • Instrumentación del navegador
  • Navegadores headless
    Puppeteer, Playwright o Selenium corriendo en segundo plano.
    Capas que lo responden
    • Instrumentación del navegador
  • Granjas de bots con navegadores reales
    Instancias reales de Chrome en servidores alquilados, a veces con humanos conduciéndolas.
    Capas que lo responden
    • Proof of work
    • Anti-trampas de videojuego
  • Solver como servicio
    Granjas de resolución de pago que toman un reto y devuelven la respuesta, a menudo con mano de obra humana barata.
    Capas que lo responden
    • Proof of work
    • Anti-trampas de videojuego
  • Modelos de IA de frontera
    Modelos de visión y de agente que leen rejillas de imágenes, resuelven puzzles de OCR y superan los CAPTCHA antiguos en milisegundos.
    Capas que lo responden
    • Anti-trampas de videojuego
Anti-trampas de videojuego
Todos los planes

Más que un juego. Un motor de verificación.

Un juego diminuto y variado que los humanos juegan en segundos y disfrutan. Por debajo, corre el mismo manual anti-trampas que usan los juegos multijugador competitivos para pillar tramposos: nuestros servidores preparan cada ronda antes de que juegues (autoridad del servidor) y la vuelven a simular después (repetición determinista), así que el juego no se puede falsear, solo jugar. Es la capa que ningún otro CAPTCHA tiene, y la razón por la que Caputchin existe.

Antes de jugar

Configuración autoritativa en el servidor

  • Un ticket firmado de un solo uso (ventana de 30 minutos) acuña la ronda. Gástalo una vez y ya no se puede repetir.
  • El juego y su semilla aleatoria se eligen en nuestros servidores, nunca en el navegador, así que nada del lado del cliente puede escoger un blanco más fácil.
  • Un juego distinto del pool cada vez. Un solver nunca sabe cuál le tocará, así que no puede preentrenarse.

El mismo modelo que un servidor de juego competitivo: el cliente envía solo entradas, nunca el veredicto.

Después de jugar

Repetición determinista

  • Tus entradas exactas se repiten en nuestros servidores con la misma semilla, dentro de un aislado sellado sin red y con un presupuesto de tiempo estricto.
  • El pasa o no pasa lo recalcula esa repetición, nunca se toma del navegador.
  • El código de cada juego se comprueba por hash antes de correr, así que el artefacto no se puede cambiar por debajo de ti.

Construida sobre el mismo determinismo del que depende el multijugador en lockstep: la ronda se vuelve a simular desde la semilla para confirmar que de verdad se jugó.

Aislado en tu página

Un iframe aislado sin red y sin alcance a tus cookies, tu almacenamiento o tu DOM.

Variedad de juegos

Sitios distintos reciben juegos distintos, y el catálogo no para de crecer.

Repetición sellada

La repetición corre sin red y con un presupuesto de CPU estricto. Nada entra ni sale.

Código a prueba de manipulación

Cada artefacto de juego se verifica por hash antes de que corra un solo fotograma.

Sin perfilado

No vigilamos tu ratón ni tu timing. En su lugar, volvemos a correr la ronda.

Dos puertas más, apiladas al lado

El anti-trampas de videojuego nunca trabaja solo. Una puerta de proof of work y la instrumentación del navegador corren con él, cada una encareciendo un patrón de ataque distinto. Compuestas en serie, cada capa que el atacante alcanza ya ha pagado un impuesto.

Todos los planes

Proof of work

Cada intento de verificación obliga al navegador del visitante a resolver un pequeño puzzle criptográfico. Un humano espera unos cientos de milisegundos y no lo nota. Una granja de bots que paga por cómputo a escala siente cada ciclo.

Dónde encaja

Formularios de registro atacados por la creación automatizada de cuentas. Cada cuenta falsa le cuesta al atacante cómputo medible, y el abuso masivo se vuelve demasiado caro como para que valga la pena.

Todos los planes

Instrumentación del navegador

El widget lee señales del entorno que el navegador del visitante expone. Los navegadores reales siempre las tienen. Las herramientas headless y los scripts suelen falsearlas mal, o no hacerlo. Un interruptor por sitio, el bloqueo de navegadores automatizados, rechaza de plano cualquier cosa que la instrumentación marque como headless o controlada por driver (Playwright, Selenium, Puppeteer). Es opcional, así que déjalo apagado si esperas automatización legítima.

Dónde encaja

Formularios de comentarios y páginas de contacto atacados por scripts de Playwright o Selenium. Con el bloqueo de navegadores automatizados activado, el script se filtra en la puerta en vez de recibir un reto que resolver.

Superficies de integración

Cuatro formas de poner la verificación delante de un visitante. Elige la que encaje con la forma de tu código, tu stack o tu equipo.

Todos los planes

Componente web listo para usar

Una etiqueta HTML monta el widget. Ejecuta las puertas y te entrega un token cuando el visitante pasa. Funciona en React, Vue, Svelte, Angular o HTML plano, porque los componentes web son nativos del navegador y no necesitan un envoltorio de framework.

Dónde encaja

El camino por defecto. Añade protección contra bots a tu formulario de registro en minutos sin sumar una nueva dependencia.

Todos los planes

API de runtime

La API de verificación tiene dos partes. La llamada de verify que tu backend usa en cada integración para confirmar que un token es real. Y los endpoints de reto de más bajo nivel para conducir la verificación tú mismo, para los casos raros en los que el widget no encaja. Distinta de la API REST de gestión que tu equipo usa para cambios de cuenta y configuración.

Dónde encaja

Llamada de verify: cada backend, siempre. API directa: chats, muros de pago, formularios de varios pasos entretejidos en tu propia UI, allá donde el elemento del widget no puede renderizarse.

Alpha tier

Verificación alojada

Apunta la action de tu formulario hacia nosotros. Verificamos al visitante y luego reenviamos los envíos a tu bandeja o tu endpoint. Cero código de backend de tu lado.

Dónde encaja

Sitios estáticos y constructores no-code que no tienen un backend para verificar tokens por sí mismos. Lanza un formulario de contacto con protección contra bots en lo que tardas en cambiar un atributo action.

Todos los planes

Incrustación en WebView móvil

Una página de incrustación hecha a medida para apps nativas de iOS y Android que renderizan el reto dentro de su WebView. El mismo widget, menor huella, ningún SDK nativo que instalar.

Dónde encaja

Apps móviles que necesitan verificación sin enviar SDKs específicos de framework ni reconstruir un flujo de CAPTCHA nativo en cada plataforma.

Lanza la verificación en una sola clave de sitio. Gratis.

Regístrate, acuña una clave de sitio, suelta el widget en un formulario. Mejora más tarde cuando necesites una función de un nivel superior.

Empezar gratis