{"section":"announcements","requestedLocale":"es","requestedSlug":"2023-07-04-validacion-con-recaptcha-seguira-la-configuracion-del-orderform-en-todos-los-requests","locale":"es","slug":"2023-07-04-validacion-con-recaptcha-seguira-la-configuracion-del-orderform-en-todos-los-requests","path":"docs/es/announcements/2023/julio/2023-07-04-validacion-con-recaptcha-seguira-la-configuracion-del-orderform-en-todos-los-requests.md","branch":"main","content":"[reCAPTCHA](https://developers.vtex.com/docs/guides/recaptcha) es un servicio de seguridad utilizado para determinar si una acción la realiza un usuario real o una automatización maliciosa, protegiendo los sitios web contra fraudes y abusos. Al activar [reCAPTCHA en el checkout](/es/docs/tutorials/recaptcha-en-el-checkout), además de seguir las mejores prácticas contra ataques virtuales, reduces el riesgo de que tu tienda sea vulnerada con fines fraudulentos.\n\nA partir de ahora, y para proteger aún más a nuestros clientes, VTEX aplicará la configuración del orderForm reCAPTCHA de cada cuenta a todos los requests provenientes de la API de Checkout, independientemente de los roles asociados al usuario o clave de la aplicación.\n\nLos administradores de tienda que utilizan la API de Checkout para realizar pedidos desde aplicaciones móviles, entornos de tienda headless y otras aplicaciones similares deben\n [revisar](#revisa-tus-integraciones) y [ajustar](#ajusta-tus-integraciones) sus integraciones antes del __1 de septiembre de 2023__.\n\n## ¿Qué cambia?\n\nAntes, la verificación con reCAPTCHA no era necesaria para los pedidos realizados por usuarios y claves de aplicación con el recurso [recurso](/es/docs/tutorials/recursos-del-license-manager) `Shopping Cart Full Access` en License Manager. Esto incluye [roles predefinidos](/es/docs/tutorials/roles-de-usuario-predefinidos) como el rol `Owner (Admin Super)` y `User Admin - RESTRICTED`, así como el [usuario Titular](/es/docs/tutorials/que-es-el-usuario-titular).\n\nAhora, la verificación con reCAPTCHA seguirá la configuración del orderForm establecida en cada cuenta en todos los requests de la API de Checkout, independientemente de los roles asociados al usuario o la clave de aplicación.\n\n## ¿Por qué realizamos este cambio?\n\nEsta acción era necesaria para reducir las posibilidades de fraude y abuso en nuestras tiendas, como por ejemplo la prueba de tarjetas (card testing). Aunque las mejores prácticas para el uso de claves de aplicación indican que las tiendas deben crear claves individuales para cada integración y otorgarles roles restrictivos, algunos administradores de tiendas se ponían en riesgo al utilizar claves de aplicación con roles de administrador. \n\nEntendemos que puede haber una razón legítima para que en algunas integraciones se amplíen los permisos dando acceso a más recursos e información, por lo que tomamos la decisión de solicitar a los administradores de tiendas que implementen reCAPTCHA en dichas integraciones. Si esto no fuera posible, tienen la opción de deshabilitar la validación reCAPTCHA en sus cuentas (`recaptchaValidation=\"never\"`) e implementar medidas de protección alternativas contra ataques automatizados.\n\nSabemos que estos cambios tendrán un impacto en las operaciones de nuestros clientes, pero adoptar las mejores prácticas de seguridad siempre es necesario y beneficioso para todo nuestro ecosistema.\n\n## ¿Qué se necesita hacer?\n\n### Revisa tus integraciones\n\nPide a tu equipo de desarrolladores que revisen tus integraciones que utilizan la API de Checkout para realizar pedidos en tu tienda VTEX, usando los siguientes endpoints:\n\n- [Place order from an existing cart](https://developers.vtex.com/docs/api-reference/checkout-api#post-/api/checkout/pub/orderForm/-orderFormId-/transaction)\n- [Place order](https://developers.vtex.com/docs/api-reference/checkout-api#put-/api/checkout/pub/orders)\n\nTu equipo podrá guiarse por el siguiente diagrama para evaluar si es necesario ajustar una integración, según la [configuración del reCAPTCHA en el orderForm](https://developers.vtex.com/docs/api-reference/checkout-api#post-/api/checkout/pvt/configuration/orderForm) de tu tienda y cómo se [autentican](https://developers.vtex.com/docs/guides/authentication-overview) los requests realizados a estos endpoints:\n\n![reCAPTCHA diagram](https://cdn.statically.io/gh/vtexdocs/help-center-content/refs/heads/main/docs/es/announcements/2023/julio/2023-07-04-validacion-con-recaptcha-seguira-la-configuracion-del-orderform-en-todos-los-requests_1.png)\n\n- __Caso 1__: *no se requieren cambios en la integración, pero tu tienda podría estar en riesgo.*\n\nTu tienda no utiliza reCAPTCHA en el Checkout y, por lo tanto, es vulnerable a ataques automatizados, a menos que implementes otras medidas de protección en tu integración.\n\n- __Caso 2__: *necesitas ajustar tu integración, de lo contrario podría dejar de funcionar.*\n\nTu tienda utiliza reCAPTCHA en el Checkout, pero no está preparada para mostrarlo correctamente en la interfaz de usuario. Tu equipo de desarrolladores debe [ajustar sus integraciones](#ajusta-tus-integraciones).\n\n- __Caso 3__: *no se requieren cambios en la integración.*\n\nTu tienda utiliza reCAPTCHA en el Checkout y está preparada para exhibirlo correctamente en la interfaz de usuario. ¡Enhorabuena por seguir las mejores prácticas en materia de seguridad!\n\n### Ajusta tus integraciones\n\nSi tu equipo de desarrolladores identifica que tu integración requiere algún tipo de atención, deben seguir las instrucciones proporcionadas en el artículo [Implementing reCAPTCHA in integrations](https://developers.vtex.com/docs/guides/implementing-recaptcha-in-integrations).\n\n> ⚠️ Si está implementando reCAPTCHA en una aplicación móvil nativa, use reCAPTCHA v3. De lo contrario, use reCAPTCHA v2.\n\nAl utilizar el `recaptchaKey` que devolvió el Checkout, el widget reCAPTCHA debe ser renderizado en la interfaz de usuario de tu aplicación móvil/entorno de tienda headless (o similar) como se describe en el artículo de [reCAPTCHA v2](https://developers.google.com/recaptcha/docs/display?hl=es-419) o [reCAPTCHA v3](https://developers.google.com/recaptcha/docs/v3?hl=es-419) proporcionado por Google.\n\nDespués de que el comprador resuelva el reCAPTCHA, su respuesta (`recaptchaToken`) se debe enviar a la API de Checkout para completar la compra, tal y como se describe en la sección *Final validation* del artículo [Implementing reCAPTCHA in integrations](https://developers.vtex.com/docs/guides/implementing-recaptcha-in-integrations#final-validation). En este momento, la API de Checkout [verificará la respuesta del usuario](https://developers.google.com/recaptcha/docs/verify?hl=es-419) utilizando el token proporcionado.\n\n> ❗ Todas las integraciones que utilicen la API de Checkout para realizar pedidos deben revisarse y ajustarse antes del 1 de septiembre de 2023. Las aplicaciones que no tengan la capacidad de mostrar el widget reCAPTCHA y verificar la respuesta del usuario no podrán realizar pedidos a partir de esta fecha.\n\n## Más información\n\nConsulta los siguientes artículos sobre reCAPTCHA y las mejores prácticas para garantizar la protección de tu tienda:\n\n- [reCAPTCHA en el Checkout](/es/docs/tutorials/recaptcha-en-el-checkout)\n- [Prácticas recomendadas para evitar ataques virtuales](/es/docs/tutorials/practicas-recomendadas-para-evitar-ataques-virtuales)\n- [Prácticas recomendadas para evitar ataques virtuales](/es/docs/tutorials/buenas-practicas-claves-de-api)\n- [Recursos del License Manager](/es/docs/tutorials/recursos-del-license-manager)"}