**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# CAPTCHAy Challenge en AWS WAF
<a name="waf-captcha-and-challenge"></a>

En esta sección se explica cómo CAPTCHA y cómo Challenge trabajar con AWS WAF.

Puedes configurar tus AWS WAF reglas para ejecutar una solicitud web CAPTCHA o una Challenge acción contra ellas que coincidan con los criterios de inspección de tu regla. También puedes programar tus aplicaciones JavaScript cliente para que ejecuten acertijos de CAPTCHA y desafíos del navegador de forma local. 

Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 
+ **CAPTCHA**: requiere que el usuario final resuelva un rompecabezas de CAPTCHA para demostrar que un ser humano envía la solicitud. Los rompecabezas de CAPTCHA están pensados para que los humanos los puedan completar con bastante facilidad y rapidez, mientras que, para las computadoras, sean difíciles de completar con éxito o de forma aleatoria con una tasa de éxito significativa. 

  En las reglas del paquete de protección (ACL web) el CAPTCHA se suele utilizar cuando una acción Block podría detener demasiadas solicitudes legítimas, pero dejar pasar todo el tráfico se traduciría en niveles inaceptablemente altos de solicitudes no deseadas, como las procedentes de bots. Para obtener información sobre el comportamiento de las acciones de las reglas, consulte [Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF](waf-captcha-and-challenge-how-it-works.md).

  También puede programar la implementación de un rompecabezas CAPTCHA en la integración de su aplicación cliente. APIs Al hacer esto, puede personalizar el comportamiento y la ubicación del rompecabezas en la aplicación cliente. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). 
+ **Challenge**: ejecuta un desafío silencioso que requiere que la sesión del cliente verifique que se trata de un navegador y no de un bot. La verificación se ejecuta en segundo plano sin la participación del usuario final. Esta es una buena opción para verificar los clientes de los que se sospecha que no son válidos sin que ello repercuta negativamente en la experiencia del usuario final mediante un rompecabezas de CAPTCHA. Para obtener información sobre el comportamiento de las acciones de las reglas, consulte [Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF](waf-captcha-and-challenge-how-it-works.md).

  La acción de la Challenge regla es similar al desafío que supone la integración de amenazas inteligentes en el cliente APIs, que se describe en. [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md)

**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

Para obtener descripciones de todas opciones de acción de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md). 

**Topics**
+ [AWS WAF Rompecabezas CAPTCHA](waf-captcha-puzzle.md)
+ [Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF](waf-captcha-and-challenge-how-it-works.md)
+ [Prácticas recomendadas para usar las acciones CAPTCHA y Challenge](waf-captcha-and-challenge-best-practices.md)

# AWS WAF Rompecabezas CAPTCHA
<a name="waf-captcha-puzzle"></a>

En esta sección se explican las características y la funcionalidad del rompecabezas AWS WAF CAPTCHA.

AWS WAF proporciona una funcionalidad CAPTCHA estándar que desafía a los usuarios a confirmar que son seres humanos. CAPTCHA son las siglas de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing Completamente Automática y Pública para Diferenciar Computadoras de Humanos). Los rompecabezas de CAPTCHA están diseñados para verificar que un humano está enviando solicitudes y para evitar actividades como el rastreo de páginas web, el uso de credenciales y el correo no deseado. Los rompecabezas de CAPTCHA no pueden eliminar todas las solicitudes no deseadas. Muchos rompecabezas se han resuelto mediante machine learning e inteligencia artificial. En un esfuerzo por evitar el CAPTCHA, algunas organizaciones complementan las técnicas automatizadas con la intervención humana. A pesar de ello, el CAPTCHA sigue siendo una herramienta útil para evitar el tráfico de bots menos sofisticado y aumentar los recursos necesarios para las operaciones a gran escala. 

AWS WAF genera aleatoriamente sus rompecabezas de CAPTCHA y los rota para garantizar que los usuarios se enfrenten a desafíos únicos. AWS WAF añade periódicamente nuevos tipos y estilos de rompecabezas para seguir siendo eficaz frente a las técnicas de automatización. Además de los acertijos, el script AWS WAF CAPTCHA recopila datos sobre el cliente para garantizar que un humano complete la tarea y evitar que se repitan los ataques. 

Cada rompecabezas de CAPTCHA incluye un conjunto estándar de controles para que el usuario final pueda solicitar un rompecabezas nuevo, cambiar entre rompecabezas de audio y visuales, acceder a instrucciones adicionales y enviar una solución al rompecabezas. Todos los rompecabezas incluyen soporte para lectores de pantalla, controles de teclado y colores contrastantes. 

Los rompecabezas AWS WAF CAPTCHA cumplen con los requisitos de las Pautas de Accesibilidad al Contenido Web (WCAG). Para obtener más información, consulte la [Web Content Accessibility Guidelines (WCAG) Overview](https://www.w3.org/WAI/standards-guidelines/wcag/) (descripción general de las directrices de accesibilidad para el contenido web en el sitio web) del World Wide Web Consortium (W3C).

**Topics**
+ [Idiomas que se admiten en las pruebas CAPTCHA](waf-captcha-puzzle-language-support.md)
+ [Ejemplos de rompecabezas de CAPTCHA](waf-captcha-puzzle-examples.md)

# Idiomas que se admiten en las pruebas CAPTCHA
<a name="waf-captcha-puzzle-language-support"></a>

En esta sección se enumeran los idiomas compatibles con los rompecabezas AWS WAF CAPTCHA.

La prueba CAPTCHA comienza con instrucciones escritas en el idioma del navegador del cliente o, si no se admite el idioma del navegador, en inglés. La prueba ofrece opciones de idiomas alternativos a través de un menú desplegable.

El usuario puede optar por las instrucciones de audio seleccionando el icono de los auriculares en la parte inferior de la página. La versión en audio de las pruebas brinda instrucciones orales sobre el texto que el usuario debe escribir en un cuadro de texto, superpuestas con ruido de fondo. 

En la siguiente tabla, se enumeran los idiomas que puede seleccionar para las instrucciones escritas en una prueba CAPTCHA y el audio que se admite para cada selección. 


**AWS WAF Idiomas compatibles con los rompecabezas CAPTCHA**  

| Compatibilidad con las instrucciones escritas | Código de idioma | Compatibilidad con las instrucciones en audio | 
| --- | --- | --- | 
|  Árabe  |  ar-SA  |  Árabe  | 
|  Chino simplificado  |  zh-CN  |  Audio en inglés  | 
|  Neerlandés  |  nl-NL  |  Neerlandés  | 
|  Inglés  |  en-US  |  Inglés  | 
|  Francés  |  fr-FR  |  Francés  | 
|  Alemán  |  de-DE  |  Alemán  | 
|  Italiano  |  it-IT  |  Italiano  | 
|  Japonés  |  ja-JP  |  Audio en inglés  | 
|  Portugués de Brasil  |  pt-BR  |  Portugués de Brasil  | 
|  Español  |  es-ES  |  Español  | 
|  Turco  |  tr-TR  |  Turco  | 

# Ejemplos de rompecabezas de CAPTCHA
<a name="waf-captcha-puzzle-examples"></a>

Un rompecabezas visual de CAPTCHA típico requiere interacción para demostrar que el usuario puede comprender e interactuar con una o más imágenes. 

En la siguiente captura de pantalla se muestra un ejemplo de rompecabezas de imágenes en cuadrícula. Este rompecabezas requiere que seleccione todas las imágenes de la cuadrícula que contienen un tipo específico de objeto. 

![\[Una pantalla contiene el título “Confirme que es humano” y el texto “Elija todas las sillas”. Debajo del texto hay una cuadrícula de imágenes de 3x3, algunas de las imágenes contienen sillas y otras contienen objetos que no son sillas, como camas y ventanas. En la parte inferior de la pantalla hay opciones para cargar un rompecabezas diferente, activar y desactivar el cuadro de información, cambiar a un rompecabezas de audio y cambiar el idioma. En la parte inferior está el botón “Confirmar”.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/CAPTCHAPuzzleGrid.png)


La opción de rompecabezas de audio proporciona ruido de fondo superpuesto con instrucciones en inglés acerca del texto que el usuario debe escribir en un cuadro de texto.

En la siguiente captura de pantalla, se muestra la pantalla para la elección del rompecabezas de audio. 

![\[Una pantalla contiene el título “Resuelva el rompecabezas” y el texto “Haga clic en "Reproducir" para escuchar las instrucciones”. Debajo del texto, hay una imagen que muestra un botón de reproducción. Debajo de la imagen, aparece el texto “Botón de audio del teclado: alt + espacio”. A continuación, se muestra el título “Ingrese su respuesta” con un cuadro de entrada de texto debajo. Un cuadro de información abierto tiene el texto “Resuelva escuchando la grabación y escribiendo la respuesta en el cuadro de texto”. En la parte inferior de la pantalla hay opciones para cargar un rompecabezas diferente, activar y desactivar el cuadro de información y cambiar a un rompecabezas visual. También en la parte inferior está el botón “Enviar”.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/CAPTCHAPuzzleAudio.png)




# Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF
<a name="waf-captcha-and-challenge-how-it-works"></a>

En esta sección se explica cómo funcionan CAPTCHA y Challenge.

AWS WAF CAPTCHAy Challenge son acciones de reglas estándar, por lo que son relativamente fáciles de implementar. Para usar cualquiera de ellas, debe crear los criterios de inspección de la regla que identifican las solicitudes que desea inspeccionar y, a continuación, especificar una de las dos acciones de la regla. Para obtener información general sobre las opciones de acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

Además de implementar desafíos silenciosos y acertijos CAPTCHA desde el lado del servidor, puede integrar desafíos silenciosos en sus aplicaciones cliente de JavaScript iOS y Android, y puede renderizar rompecabezas CAPTCHA en sus clientes. JavaScript Estas integraciones le permiten ofrecer a sus usuarios finales un mejor rendimiento y una mejor experiencia con los rompecabezas de CAPTCHA, además de reducir los costos asociados al uso de las acciones de regla y los grupos de reglas de mitigación de amenazas inteligentes. Para obtener más información sobre estas opciones, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener información acerca de los precios, consulte [AWS WAF Pricing (Precios de Glue)](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md)
+ [Acciones CAPTCHA y Challenge en los registros y las métricas](waf-captcha-and-challenge-logs-metrics.md)

# Comportamiento de acción CAPTCHA y Challenge
<a name="waf-captcha-and-challenge-actions"></a>

En esta sección se explica qué hacen las acciones CAPTCHA y Challenge.

Cuando una solicitud web coincide con los criterios de inspección de una regla CAPTCHA o una Challenge acción, AWS WAF determina cómo gestionar la solicitud según el estado de su token y la configuración del tiempo de inmunidad. AWS WAF también tiene en cuenta si la solicitud puede gestionar el rompecabezas de CAPTCHA o los intersticiales de los scripts de desafío. Los scripts están diseñados para ser tratados como contenido HTML y solo un cliente que espere contenido HTML puede gestionarlos correctamente. 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

**Cómo gestiona la acción la solicitud web**  
AWS WAF aplica la Challenge acción CAPTCHA o a una solicitud web de la siguiente manera:
+ **Token válido**: lo AWS WAF gestiona de forma similar a una Count acción. AWS WAF aplica las etiquetas y personalizaciones de solicitud que haya configurado para la acción de la regla y, a continuación, continúa evaluando la solicitud con las demás reglas del paquete de protección (ACL web). 
+ **Token faltante, no válido o caducado**: AWS WAF interrumpe la evaluación de la solicitud por parte del paquete de protección (ACL web) e impide que se dirija a su destino previsto. 

  AWS WAF genera una respuesta que envía al cliente, según el tipo de acción de la regla: 
  + **Challenge**: AWS WAF incluye lo que se detalla a continuación en la respuesta:
    + El encabezado `x-amzn-waf-action` con un valor de `challenge`.
**nota**  
En el caso de las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.
    + El código de estado HTTP `202 Request Accepted`.
    + Si la solicitud contiene un `Accept` encabezado con un valor de`text/html`, la respuesta incluye una JavaScript página intersticial con un script de desafío.
  + **CAPTCHA**— AWS WAF incluye lo siguiente en la respuesta:
    + El encabezado `x-amzn-waf-action` con un valor de `captcha`.
**nota**  
En el caso de las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.
    + El código de estado HTTP `405 Method Not Allowed`.
    + Si la solicitud contiene un `Accept` encabezado con un valor de`text/html`, la respuesta incluye un intersticial de JavaScript página con un script CAPTCHA. 

Para configurar el momento de vencimiento del token de reglas o de paquete de protección (ACL web), consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).

**Los encabezados no están disponibles para las JavaScript aplicaciones que se ejecutan en el navegador del cliente**  
Cuando AWS WAF responde a una solicitud de un cliente con un CAPTCHA o una respuesta a un desafío, no incluye los encabezados de intercambio de recursos entre orígenes (CORS). Los encabezados CORS son un conjunto de encabezados de control de acceso que indican al navegador web del cliente qué dominios, métodos HTTP y encabezados HTTP pueden utilizar las aplicaciones. JavaScript Sin los encabezados CORS, JavaScript las aplicaciones que se ejecutan en el navegador de un cliente no tienen acceso a los encabezados HTTP y, por lo tanto, no pueden leer el `x-amzn-waf-action` encabezado que se proporciona en las respuestas y. CAPTCHA Challenge 

**Función de los intersticiales de desafío y CAPTCHA**  
Cuando se ejecuta un desafío intersticial, después de que el cliente responda correctamente, si aún no tiene un token, el intersticial inicializa uno para él. A continuación, actualiza el token con la marca de tiempo de resolución del desafío.

Cuando se ejecuta un intersticial de CAPTCHA, si el cliente aún no tiene un token, el intersticial de CAPTCHA invoca primero el script de desafío para desafiar al navegador e inicializar el token. Luego, el intersticial ejecuta su rompecabezas de CAPTCHA. Cuando el usuario final complete correctamente el rompecabezas, el intersticial actualiza el token con la marca de tiempo de resolución del CAPTCHA. 

En cualquier caso, una vez que el cliente responde correctamente y el script actualiza el token, el script vuelve a enviar la solicitud web original utilizando el token actualizado. 

Puede configurar la forma AWS WAF en que gestiona los tokens. Para obtener información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

# Acciones CAPTCHA y Challenge en los registros y las métricas
<a name="waf-captcha-and-challenge-logs-metrics"></a>

En esta sección se explica cómo AWS WAF se gestionan los registros CAPTCHA y las métricas de Challenge las acciones.

Las acciones CAPTCHA y Challenge pueden ser de no finalización, como Count, o de finalización, como Block. El resultado depende de si la solicitud tiene un token válido con una marca de tiempo vigente para el tipo de acción. 
+ **Token válido**: cuando la acción encuentra un token válido y no bloquea la solicitud, AWS WAF captura las métricas y los registros de la siguiente manera:
  + Incrementa las métricas de `CaptchaRequests` y `RequestsWithValidCaptchaToken` o `ChallengeRequests` y `RequestsWithValidChallengeToken`. 
  + Registra la coincidencia como una entrada `nonTerminatingMatchingRules` con una acción CAPTCHA o Challenge. La siguiente lista muestra la sección de un registro para este tipo de coincidencia con la acción CAPTCHA.

    ```
        "nonTerminatingMatchingRules": [
        {
          "ruleId": "captcha-rule",
          "action": "CAPTCHA",
          "ruleMatchDetails": [],
          "captchaResponse": {
            "responseCode": 0,
            "solveTimestamp": 1632420429
          }
        }
      ]
    ```
+ **Token faltante, no válido o caducado**: cuando la acción bloquea la solicitud porque falta un token o no es válido, AWS WAF captura las métricas y los registros de la siguiente manera:
  + Incrementa la métrica para `CaptchaRequests` o `ChallengeRequests`. 
  + Registra la coincidencia como una entrada `CaptchaResponse` con código de estado HTTP `405` o como una entrada `ChallengeResponse` con código de estado HTTP `202`. El registro indica si a la solicitud le faltaba el token o si tenía una marca de tiempo caducada. El registro también indica si AWS WAF se envió una página intersticial de CAPTCHA al cliente o si se envió un desafío silencioso al navegador del cliente. La siguiente lista muestra la sección de un registro para este tipo de coincidencia con la acción de CAPTCHA.

    ```
        "terminatingRuleId": "captcha-rule",
        "terminatingRuleType": "REGULAR",
        "action": "CAPTCHA",
        "terminatingRuleMatchDetails": [],
        ...
        "responseCodeSent": 405,
        ...
        "captchaResponse": {
          "responseCode": 405,
          "solveTimestamp": 0,
          "failureReason": "TOKEN_MISSING"
        }
    ```

Para obtener información sobre los registros, consulte AWS WAF . [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md)

Para obtener información sobre AWS WAF las métricas, consulte[AWS WAF métricas y dimensiones](waf-metrics.md).

Para obtener información general sobre las opciones de acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

**Las solicitudes sin token aparecen dos veces en los registros y las métricas.**  
Según [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md) y los registros y las métricas descritos en esta sección, una solicitud sin token generalmente se representa dos veces en los registros y las métricas. Esto se debe a que el cliente envía dos veces la misma solicitud.
+ La primera solicitud, sin token, recibe la gestión de registros y métricas descritos anteriormente en caso de que el token falte, no sea válido o haya caducado. Las acciones CAPTCHA o Challenge finalizan esta primera solicitud y luego, responden al cliente con un desafío silencioso o un rompecabezas de CAPTCHA. 
+ El cliente evalúa el desafío o el rompecabezas y, si el navegador del cliente o el usuario final responde correctamente, envía la solicitud por segunda vez con el token recién generado. Esta segunda solicitud recibe la gestión de registros y métricas descritos anteriormente para una solicitud con un token válido. 

# Prácticas recomendadas para usar las acciones CAPTCHA y Challenge
<a name="waf-captcha-and-challenge-best-practices"></a>

Siga las instrucciones de esta sección para planificar e implementar el AWS WAF CAPTCHA o el desafío.

**Planificación de la implementación del CAPTCHA y el desafío**  
Determina dónde colocar los rompecabezas de CAPTCHA o los desafíos silenciosos en función del uso de su sitio web, la confidencialidad de los datos que desea proteger y el tipo de solicitudes. Seleccione las solicitudes a las que vaya a aplicar el CAPTCHA para poder presentar los rompecabezas según sea necesario, pero evita presentarlos donde no sean útiles y puedan degradar la experiencia del usuario. Usa esta Challenge acción para ejecutar desafíos silenciosos que tengan un menor impacto en el usuario final y, al mismo tiempo, ayuden a verificar que la solicitud proviene de un navegador JavaScript habilitado. 

Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes. 

**Definalización de dónde ejecutar los rompecabezas de CAPTCHA y los desafíos silenciosos para los clientes**  
Identifique las solicitudes que no desee que se vean afectadas por el CAPTCHA, por ejemplo, las solicitudes de CSS o imágenes. Utilizar CAPTCHA solo cuando sea necesario. Por ejemplo, si planea comprobar el CAPTCHA al iniciar sesión y siempre se redirige al usuario directamente desde el inicio de sesión a otra pantalla, probablemente no sea necesario comprobar el CAPTCHA en la segunda pantalla ya que esto podría perjudicar la experiencia de usuario final. 

Configúralo Challenge y CAPTCHA úsalo de forma que AWS WAF solo envíes acertijos en formato CAPTCHA y desafíos silenciosos en respuesta a las `GET` `text/html` solicitudes. No puede ejecutar el rompecabezas ni el desafío en respuesta a solicitudes `POST`, solicitudes `OPTIONS` de verificación previa del uso compartido de recursos entre orígenes (CORS) o cualquier otro tipo de solicitud que no sea `GET`. El comportamiento del navegador para otros tipos de solicitudes puede variar y es posible que no pueda gestionar los intersticiales correctamente. 

Es posible que un cliente acepte HTML y, aun así, no pueda gestionar el CAPTCHA ni cuestionar los intersticiales. Por ejemplo, un widget de una página web con un iFrame pequeño puede aceptar HTML, pero no mostrar un CAPTCHA ni procesarlo. Evite incluir las acciones de regla para este tipo de solicitudes, igual que para las solicitudes que no aceptan HTML.

**Uso de CAPTCHA o Challenge para verificar la adquisición previa del token**  
Puede usar las acciones de la regla únicamente para verificar la existencia de un token válido en ubicaciones donde los usuarios legítimos siempre deberían tener uno. En estas situaciones, no importa si la solicitud puede administrar los intersticiales. 

Por ejemplo, si implementa la API CAPTCHA de la aplicación JavaScript cliente y ejecuta el rompecabezas de CAPTCHA en el cliente inmediatamente antes de enviar la primera solicitud a su terminal protegido, la primera solicitud siempre debe incluir un token que sea válido tanto para el desafío como para el CAPTCHA. Para obtener información sobre la integración de aplicaciones cliente, consulte JavaScript . [AWS WAF JavaScript integraciones](waf-javascript-api.md) 

En este caso, en su paquete de protección (ACL web), puede agregar una regla que coincida con esta primera llamada y configurarla con la acción de regla Challenge o CAPTCHA. Cuando la regla coincida entre un usuario final legítimo y un navegador, la acción buscará un token válido y, por lo tanto, no bloqueará la solicitud ni enviará un desafío o un rompecabezas de CAPTCHA como respuesta. Para obtener más información sobre cómo funcionan las etiquetas, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).

**Protección de datos confidenciales que no sean HTML con CAPTCHA y Challenge**  
Puede usar CAPTCHA y Challenge protecciones para datos confidenciales que no sean HTML, por ejemploAPIs, con el siguiente enfoque. 

1. Identifique las solicitudes que aceptan respuestas HTML y que se ejecutan muy cerca de las solicitudes de sus datos confidenciales que no son HTML. 

1. Escriba reglas CAPTCHA o Challenge que coincidan con las solicitudes HTML y con las solicitudes de sus datos confidenciales. 

1. Ajuste su configuración del tiempo de inmunidad de CAPTCHA y Challenge para que, en las interacciones normales de los usuarios, los tokens que los clientes obtienen de las solicitudes de HTML estén disponibles y no hayan caducado en sus solicitudes de datos confidenciales. Para obtener información sobre el ajuste, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).

Si una solicitud de datos confidenciales coincide con una regla CAPTCHA o Challenge, no se bloqueará si el cliente aún tiene un token válido del rompecabezas o desafío anterior. Si el token no está disponible o la marca de tiempo ha caducado, la solicitud de acceso a sus datos confidenciales fallará. Para obtener más información sobre cómo funcionan las etiquetas, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).

**Uso de CAPTCHA y Challenge para ajustar las reglas existentes**  
Revise sus reglas actuales para ver si quiere modificarlas o agregarlas. A continuación, se presentan algunos escenarios comunes a considerar. 
+ Si tiene una regla basada en tasas que bloquea el tráfico, pero mantiene el límite de tasa relativamente alto para evitar bloquear a los usuarios legítimos, considere la posibilidad de agregar una segunda regla basada tasas después de la regla de bloqueo. Asigne a la segunda regla un límite inferior al de la regla de bloqueo y establezca la acción de regla en CAPTCHA o Challenge. La regla de bloqueo seguirá bloqueando las solicitudes que lleguen a un ritmo demasiado alto y la nueva regla bloqueará la mayor parte del tráfico automatizado a un ritmo aún menor. Para obtener información acerca de las reglas basadas en tasas, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).
+ Si tiene un grupo de reglas administradas que bloquea las solicitudes, puede cambiar el comportamiento de algunas o todas las reglas de Block a CAPTCHA o Challenge. Para ello, en la configuración del grupo de reglas administradas, anule la configuración de la acción de regla. Para obtener información sobre la anulaciones de las acciones de las reglas, consulte [Anulación de acciones de reglas de un grupo de reglas](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules). 

**Comprobación de las implementaciones del CAPTCHA y el desafío antes de implantarlas**  
En cuanto a todas las nuevas funciones, siga las instrucciones que se indican en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).

Durante las pruebas, revise los requisitos de caducidad de las marcas de tiempo de los tokens y establezca las configuraciones de tiempo de inmunidad de las reglas y la ACL web para lograr un buen equilibrio entre el control del acceso a su sitio web y el suministro de una buena experiencia a sus clientes. Para obtener información, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).