Keycloak incluye reCAPTCHA en su flujo de registro. Para las organizaciones europeas, este defecto genera cookies, transferencias de datos a EE.UU. y una carga de documentación sobre privacidad en los tres flujos más importantes: inicio de sesión, registro y restablecimiento de contraseña. Esta guía explica cómo reemplazar reCAPTCHA en Keycloak con una alternativa sin cookies, alojada en la UE y recorre la configuración exacta para cada flujo de autenticación.
Tiempo estimado de lectura: 12 minutos
De un vistazo
El problema central
El reCAPTCHA integrado de Keycloak establece la cookie _grecaptcha, dirige la verificación a través de la infraestructura de Google y crea preguntas de consentimiento de privacidad electrónica en sus flujos de autenticación más sensibles.
Por qué los flujos de autenticación son diferentes
El inicio de sesión, el registro y el restablecimiento de contraseña son páginas que los usuarios deben completar antes de poder acceder a cualquier cosa. Aquí, las dependencias de terceros tienen más peso en materia de cumplimiento y seguridad que en un formulario de contacto estándar.
La solución práctica
Un plugin CAPTCHA de prueba de trabajo instalado como un JAR: sin cookies, sin transferencias a EE.UU., sin capa de consentimiento de cookies para el propio CAPTCHA, con un perfil de revisión de terceros mucho más simple, y configurable por flujo Keycloak en menos de una hora.
Contenido de esta guía
- Por qué reCAPTCHA crea problemas específicos en Keycloak
- Alternativas a Keycloak CAPTCHA comparadas
- Los tres flujos a proteger
- ¿Qué versión de Keycloak utiliza?
- Instalación: añadir el plugin CAPTCHA.eu a Keycloak
- Configurar el flujo de registro
- Proteger el inicio de sesión, registro y restablecimiento de contraseña de Keycloak
- Notas de implementación: Docker, Kubernetes y Red Hat SSO
- Lista de control del GDPR tras el cambio
- Preguntas frecuentes
A quién va dirigida esta guía
Este artículo está dirigido a administradores de IAM, equipos de seguridad, ingenieros de plataforma y organizaciones reguladas o del sector público que utilizan Keycloak en producción y necesitan una ruta de sustitución práctica para reCAPTCHA en los flujos de inicio de sesión, registro y restablecimiento de contraseña.
Por qué reCAPTCHA crea problemas específicos en Keycloak
La mayoría de los debates sobre reCAPTCHA se centran en los formularios de contacto. Keycloak es una situación totalmente diferente. Es un sistema de gestión de identidad y acceso: la capa que controla quién puede iniciar sesión, crear una cuenta o recuperar una contraseña en todas sus aplicaciones. Esto significa que reCAPTCHA se aplica a los flujos de autenticación, no a las páginas de marketing.
Para las organizaciones europeas que utilizan Keycloak en producción, esto crea tres problemas que son más graves que en un formulario de sitio web típico.
Las implantaciones de Keycloak en empresas y el sector público son objeto de las revisiones más estrictas. Los DPO, los comités de compras y los arquitectos de seguridad plantean preguntas más difíciles sobre los scripts de terceros en las páginas de autenticación que en cualquier otra parte de un sitio web. Un CAPTCHA sin cookies, sin enrutamiento de datos estadounidenses y con un perfil de revisión de terceros mucho más sencillo es estructuralmente más fácil de defender y más rápido de aprobar.
La cookie _grecaptcha se ejecuta en las páginas de autenticación. Google confirmó que esta cookie persiste después del cambio de modelo de procesador de abril de 2026. En una página de inicio de sesión que los empleados o clientes deben completar antes de poder acceder a cualquier servicio, no pueden optar de manera significativa por no utilizar una cookie que protege el mismo flujo que necesitan utilizar. Esto es más difícil de resolver que la misma cookie en un formulario de contacto.
Rutas de verificación a través de la infraestructura de Google. Para las organizaciones de sectores regulados como la sanidad, las finanzas o el sector público, el tratamiento de datos personales a través de la infraestructura estadounidense requiere documentación de transferencia activa en virtud del GDPR. En un sistema de autenticación que gestiona credenciales, esto añade una sobrecarga de gobernanza que los equipos de seguridad y cumplimiento preferirían evitar por completo.
Las páginas de autenticación son más seguras
A diferencia de un formulario de contacto, los flujos de autenticación manejan credenciales y testigos de sesión. Cuando un servicio CAPTCHA de terceros se ejecuta en la misma página, comparte el contexto del navegador con esos flujos. Para las implementaciones de Keycloak en el sector regulado, esto va más allá de la pregunta estándar de consentimiento de cookies y entra en el territorio de revisión de la arquitectura de seguridad.
Alternativas a Keycloak CAPTCHA comparadas
Varios proveedores de CAPTCHA ofrecen plugins de Keycloak, pero el mercado está mucho más limitado aquí que para WordPress o TYPO3. La mayoría de las extensiones de la comunidad se rompen en las actualizaciones de versiones principales de Keycloak y reciben un mantenimiento limitado. El ecosistema CAPTCHA de Keycloak es mucho más pequeño que el de WordPress o TYPO3. En la práctica, la mayoría de los equipos que evalúan una capa moderna de Keycloak CAPTCHA se fijan en CAPTCHA.eu, Friendly Captcha, reCAPTCHA y un pequeño número de opciones mantenidas por la comunidad, como las integraciones de ALTCHA o hCaptcha.
SOLUCIÓN | COOKIES | UBICACIÓN DE LOS DATOS | FLUJOS CUBIERTOS | TIPO DE PLUGIN | REQUISITO DE VERSIÓN |
|---|---|---|---|---|---|
CAPTCHA.eu | No | Austria (UE) | Inicio de sesión, registro, restablecimiento de contraseña | JAR oficial | Keycloak 22.0.3+ |
Captcha amigable | No | Punto final dedicado sólo para la UE a partir del plan Avanzado. Los niveles inferiores pueden utilizar infraestructura global. | Inicio de sesión, registro, restablecimiento de contraseña | Plugin oficial | Se requiere Keycloak 26.1.0+ y Java 17+. |
hCaptcha | Sí | Con sede en EE.UU. | Sólo inscripción | JAR comunitario | Mantenimiento limitado |
ALTCHA | No | Su propia infraestructura | Sólo inscripción | JAR comunitario | Se requiere backend autoalojado |
reCAPTCHA v2 | Sí (_grecaptcha) | Con sede en EE.UU. | Registro (sólo integrado) | Incorporado | Login y Reset requieren extensiones personalizadas |
Los tres flujos a proteger
Keycloak organiza la autenticación como flujos configurables, que son secuencias independientes que se modifican por separado en la Admin Console. Entender qué hace cada flujo le ayuda a decidir cuáles proteger primero y por qué.
El flujo del navegador (inicio de sesión) es la página de inicio de sesión estándar que los usuarios ven cuando acceden a una aplicación protegida por Keycloak. Conlleva el mayor volumen de tráfico y es el objetivo principal de los ataques de relleno de credenciales y de fuerza bruta: intentos automatizados de acceder a cuentas utilizando credenciales robadas o adivinadas a escala.
El flujo de inscripción cubre la creación de cuentas. Sin la protección CAPTCHA, los bots crean cuentas falsas en masa, lo que degrada la calidad del servicio, distorsiona los análisis de usuarios y permite abusar de los periodos de prueba, los programas de recomendación o los niveles gratuitos.
El restablecer flujo de credenciales gestiona la recuperación de contraseñas. Los ciberdelincuentes la utilizan para enviar correos electrónicos de recuperación a gran escala, sobrecargar la infraestructura de correo, enumerar los nombres de usuario que existen en el sistema o buscar oportunidades para hacerse con cuentas. Es la menos comentada de las tres y, a menudo, la última que los equipos piensan en proteger. Dejarla abierta mientras se protegen las otras dos crea una brecha.
Una limitación importante a conocer de antemano: El reCAPTCHA integrado de Keycloak sólo protege el flujo de registro de forma nativa. Para proteger el inicio de sesión y el restablecimiento de contraseña con reCAPTCHA, necesita extensiones personalizadas. CAPTCHA.eu cubre los tres con el mismo JAR y sigue el mismo patrón de configuración para cada uno, que es una de las razones por las que los equipos encuentran la migración sencilla.
¿Qué versión de Keycloak utiliza?
Antes de instalar nada, compruebe su versión de Keycloak. Afecta a las alternativas disponibles.
Si ejecuta Keycloak 26.1.0 o posterior con Java 17 o posterior, tanto CAPTCHA.eu como Friendly Captcha están disponibles. Ambos ofrecen plugins con mantenimiento oficial que cubren los tres flujos. CAPTCHA.eu también soporta 22.0.3 o posterior en caso de que esté ejecutando una versión anterior.
Si ejecuta una versión anterior de Keycloak (Keycloak 24.x, 25.x, o cualquiera por debajo de 26.1.0), el plugin Keycloak de Friendly Captcha no es compatible. Su plugin requiere explícitamente Keycloak 26.1.0+ y Java 17+. CAPTCHA.eu soporta un rango de versiones más amplio.
Si ejecuta Red Hat Build of Keycloak (RHBK) o el producto Red Hat SSO anterior, el mapeo de versiones difiere de Keycloak upstream. RHBK 24 corresponde aproximadamente a Keycloak 24. Verifique la compatibilidad documentada del complemento antes de implementarlo en producción.
Cómo comprobar la versión de Keycloak
Inicie sesión en la consola de administración de Keycloak. El número de versión aparece en la esquina inferior izquierda de la interfaz de administración. Alternativamente, compruebe los registros de inicio del servidor o ejecute bin/kc.sh --version del directorio de instalación de Keycloak.
Instalación: añadir el plugin CAPTCHA.eu a Keycloak
Si prefiere no editar su tema manualmente, utilice el tema pre-construido incluido en la fuente de la extensión CAPTCHA.eu en /theme/captcha.
Configurar el flujo de registro
Proteger el inicio de sesión, registro y restablecimiento de contraseña de Keycloak
Plugin alojado en Austria, sin cookies y con mantenimiento oficial que cubre los tres flujos de autenticación. 100 verificaciones gratuitas para empezar.
Notas de implementación: Docker, Kubernetes y Red Hat SSO
La forma de instalar el JAR depende de cómo ejecute Keycloak. Los pasos de configuración de Admin Console son idénticos en todos los casos. Sólo difiere la ubicación de los archivos.
Instalación estándar (bare-metal o VM): Copie keycloak-captcha.jar directamente en la carpeta proveedores/ de su instalación de Keycloak y reinicie. Keycloak recogerá el nuevo proveedor automáticamente al iniciarse.
Docker: Añada el JAR en tiempo de compilación utilizando una instrucción COPY en su Dockerfile, o móntelo en tiempo de ejecución a través de un volumen. El directorio de proveedores dentro del contenedor suele estar en /opt/keycloak/providers/. Un Dockerfile mínimo se parece a esto:
FROM quay.io/keycloak/keycloak:latest
COPIAR keycloak-captcha.jar /opt/keycloak/providers/
EJECUTAR /opt/keycloak/bin/kc.sh buildKubernetes: Monte el JAR usando un initContainer que lo copie en un volumen compartido, o use un ConfigMap si su cluster soporta datos binarios. El método de producción más fiable consiste en crear una imagen Keycloak personalizada con el JAR incorporado y, a continuación, hacer referencia a ella en el manifiesto de despliegue. Esto evita la complejidad del montaje de volúmenes y mantiene su despliegue reproducible.
Red Hat Build of Keycloak (RHBK) y Red Hat SSO: RHBK sigue el mismo enfoque de directorio de proveedores que Keycloak, pero los números de versión difieren. RHBK 24 corresponde aproximadamente a Keycloak 24. Si ejecuta Red Hat SSO 7.x, el producto más antiguo basado en una versión diferente de Keycloak, verifique cuidadosamente la compatibilidad del plugin antes de desplegarlo en producción. La página del plugin CAPTCHA.eu documenta la compatibilidad actual; en caso de duda, pruebe primero en un dominio de prueba.
Pruebas en un entorno de ensayo antes de pasar a producción
Keycloak le permite crear múltiples dominios en la misma instalación. Antes de implementar CAPTCHA.eu en su dominio de producción, configúrelo en un dominio de prueba dedicado y ejecute el inicio de sesión, el registro y el restablecimiento de contraseña de extremo a extremo. Esto lleva unos quince minutos y detecta cualquier problema de configuración del tema o del flujo antes de que afecte a los usuarios reales.
Lista de control del GDPR tras el cambio
La migración técnica abarca la capa CAPTCHA. Estos pasos completan el cuadro de cumplimiento.
Confírmelo con sus equipos de seguridad y RPD. Para implantaciones en empresas y sectores regulados, confirme los cambios en el flujo de autenticación con su arquitecto de seguridad y DPO antes de la puesta en marcha. Esta es una práctica estándar para cualquier cambio en el sistema de autenticación.
Actualice su aviso de privacidad. Elimine la entrada reCAPTCHA y sustitúyala por una breve entrada CAPTCHA.eu que mencione Austria como lugar de procesamiento y la protección contra bots en los flujos de autenticación como objetivo.
Revise su configuración de gestión del consentimiento. Si su implementación de Keycloak incluía alguna revelación de cookies para reCAPTCHA, elimine o revise esa entrada. Para CAPTCHA.eu, no se necesita ningún mecanismo de consentimiento basado en cookies para la capa CAPTCHA en sí. Las cookies de sesión y los tokens OIDC son independientes y no se ven afectados.
Actualice sus registros de tramitación. Sustituya a Google como procesador relacionado con CAPTCHA en sus registros del artículo 30. En CAPTCHA.eu encontrará una DPA estándar disponible para este fin.
Preguntas frecuentes
¿Funciona CAPTCHA.eu con mi versión de Keycloak?
El plugin CAPTCHA.eu funciona a través del SPI de autenticación de Keycloak y soporta un amplio rango de versiones. Compruebe la página del plugin para ver la matriz de compatibilidad actual. Como referencia: El plugin Keycloak de Friendly Captcha requiere Keycloak 26.1.0 o posterior y Java 17 o posterior. Si ejecuta una versión anterior, CAPTCHA.eu mantiene opciones disponibles para usted.
¿Sigo necesitando un banner de consentimiento de cookies después de cambiar?
No para la capa CAPTCHA en sí. CAPTCHA.eu no establece cookies para la función CAPTCHA, lo que elimina el desencadenante de consentimiento específico que reCAPTCHA introduce en las páginas de autenticación. Las cookies de sesión y los tokens OIDC son independientes y no se ven afectados por el cambio.
¿Puedo proteger sólo algunos flujos y no modificar otros?
Sí. Cada flujo de Keycloak se configura de forma independiente, por lo que puede proteger sólo el registro, el inicio de sesión y el registro, o los tres. La mayoría de los equipos comienzan con el registro (el mayor volumen de abuso automatizado) y luego añaden el inicio de sesión y el restablecimiento de contraseña. Dejar el restablecimiento de contraseña sin protección mientras se protegen los otros dos crea una brecha, así que planifique cubrir los tres flujos.
¿Qué ocurre si tengo un tema Keycloak personalizado?
Añada los fragmentos de frontend a las plantillas de tema existentes: login.ftl, register.ftl y login-reset-password.ftl. Cada fragmento va después de la etiqueta de cierre de su plantilla respectiva. Si prefiere empezar de cero, la extensión CAPTCHA.eu incluye un tema pre-construido en /theme/captcha que puede utilizar como base.
¿En qué se diferencia CAPTCHA.eu de Friendly Captcha para Keycloak?
Ambos proporcionan plugins oficiales de Keycloak con verificación proof-of-work y sin cookies. Las diferencias prácticas: CAPTCHA.eu soporta un rango de versiones de Keycloak más amplio: Friendly Captcha requiere Keycloak 26.1.0+ y Java 17+, lo que lo descarta para equipos en instalaciones más antiguas. CAPTCHA.eu también incluye por defecto el procesamiento alojado en Austria en todos los planes comerciales, mientras que el punto final dedicado solo a la UE de Friendly Captcha requiere el plan Advanced a partir de 200 €/mes.
¿Debería activar también la protección por fuerza bruta integrada en Keycloak?
Sí, y los dos mecanismos se complementan bien. CAPTCHA.eu impide que los robots automatizados lleguen a enviar credenciales. La detección de fuerza bruta integrada en Keycloak se encarga de los casos que se cuelan bloqueando temporalmente las cuentas tras repetidos fallos. Ejecutar ambos sistemas le proporciona una defensa en profundidad. Consulte nuestra guía sobre prevención de ataques de fuerza bruta para la estrategia más amplia.
¿Es CAPTCHA.eu adecuado para las implantaciones de SSO en empresas?
Sí. CAPTCHA.eu es utilizado por organizaciones como ÖBB, OeNB y DGUV: entornos en los que tanto la seguridad de la autenticación como la documentación de las adquisiciones reciben una revisión formal. El procesamiento alojado en Austria y la certificación WCAG 2.2 AA de TÜV Austria proporcionan las pruebas documentadas que suelen exigir las revisiones de seguridad de empresas y del sector público.
Lecturas relacionadas
Alternativa a TYPO3 reCAPTCHA: Cómo reemplazar reCAPTCHA en sitios web europeos
reCAPTCHA en TYPO3 significa cookies, transferencias de datos a EE.UU. y una creciente carga de cumplimiento que la mayoría de los equipos de DACH ya no quieren...
Alternativa a WordPress reCAPTCHA: Cómo reemplazar reCAPTCHA en sitios web europeos
Google reCAPTCHA funciona en WordPress. Pero si nos fijamos en lo que significa para GDPR, las cookies y las transferencias de datos de EE. UU.,...
Cómo evitar los ataques de relleno de credenciales en su sitio web
Los ataques de relleno de credenciales utilizan contraseñas reales robadas de violaciones anteriores, no conjeturas. Esto los hace más rápidos, difíciles de detectar y...
Cómo evitar ataques de fuerza bruta en su sitio web
Los ataques de fuerza bruta son una de las amenazas más persistentes para la seguridad de los sitios web. En 2026, combinan listas de credenciales robadas,...
Fuentes primarias
Página del plugin CAPTCHA.eu KeycloakGuía oficial de instalación y fragmentos de FTL para los tres flujos
Página de integración amigable de Captcha Keycloak: confirma los requisitos de Keycloak 26.1.0+ y Java 17+.
keycloak-altcha (GitHub): extensión ALTCHA comunitaria para Keycloak, sólo flujo de registro
Keycloak GitHub issue #41057: debate en la comunidad sobre el soporte nativo de CAPTCHA no Google en Keycloak
Preguntas frecuentes sobre Google reCAPTCHA (abril de 2026): confirma la _grecaptcha cookie permanece tras el cambio de modelo de procesador
CAPTCHA.eu Certificación WCAG 2.2 AAcertificado independiente por TÜV Austria
Transparencia: Este artículo está escrito por el equipo de CAPTCHA.eu e incluye nuestro propio producto. Las opciones de la competencia se caracterizan en base a la documentación pública actual. Si usted encuentra una inexactitud, Contacto y lo corregiremos.
Pruebe la alternativa europea concebida para dar prioridad a la privacidad
Si su equipo necesita protección contra bots de baja fricción con alojamiento austriaco, sin cookies en la capa CAPTCHA, procesamiento basado en la UE, precios transparentes y accesibilidad certificada por TÜV, pruebe CAPTCHA.eu en un flujo real antes de decidirse. Comience con su formulario de inicio de sesión, registro o contacto. 100 solicitudes gratuitas, sin necesidad de tarjeta de crédito.
Spanish 
English 
German 
French 
Dutch 
Italian