¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

AWS WAF Captcha

¿Qué hace AWS WAF Captcha?

AWS WAF Captcha es la función de challenge y captcha de AWS WAF. Presenta un desafío visible o invisible a los visitantes que cumplen reglas sospechosas y emite un token firmado que evita nuevos desafíos al mismo navegador.

AWS WAF Captcha es una función de challenge totalmente gestionada de AWS Web Application Firewall. Cuando una regla WAF coincide, el visitante recibe un challenge JavaScript invisible (Challenge) o visual (Captcha). Tras el éxito, AWS WAF almacena un token firmado en una cookie propia para que el usuario no vuelva a ser desafiado durante un tiempo configurable. La función se integra con CloudFront, Application Load Balancer, API Gateway y AppSync.

Qué hace AWS WAF Captcha

AWS WAF Captcha ejecuta un desafío en el navegador que detecta navegadores headless, automatización y ataques de replay. Recopila señales de dispositivo (user agent, pantalla, idioma, zona horaria, APIs del navegador) y de comportamiento (movimientos de ratón, acelerómetro en móvil). El resultado es un JWT firmado que vuelve al edge de AWS WAF y se reenvía mediante la cookie aws-waf-token.

Cookies y datos recopilados

La cookie principal es aws-waf-token, instalada en su propio dominio como HttpOnly, Secure, SameSite=None. Su duración por defecto es de 5 minutos para Challenge y de hasta 1 día para Captcha, configurable por el administrador. AWS también procesa la IP, el user agent, la URL, la respuesta al desafío y las señales de huella digital capturadas por el runtime JavaScript.

Implicaciones RGPD y ePrivacy

La cookie del captcha puede considerarse estrictamente necesaria conforme al artículo 5.3 de la Directiva ePrivacy y a la LSSI, porque protege directamente el servicio solicitado. Las señales conductuales son datos personales y se apoyan en el interés legítimo (artículo 6.1.f del RGPD) con un test de ponderación documentado. AWS es encargado según su DPA. Mencione AWS WAF Captcha en su política de privacidad.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Alojamiento y transferencias

AWS WAF se ejecuta en edges cercanos al usuario, incluidos los de la UE. AWS como entidad reside en EE. UU. y opera su control plane en regiones estadounidenses. AWS participa en el Data Privacy Framework UE-EE. UU. y ofrece CCT. Documente el mecanismo de transferencia en su registro.

Cómo implementarlo cumpliendo la normativa

Trate AWS WAF Captcha como una herramienta estrictamente necesaria para la seguridad: actívela por defecto sin consentimiento previo. Descríbala con transparencia en su política de privacidad (finalidad, señales, plazo, AWS como encargado, mecanismo de transferencia). Provea una alternativa accesible para quienes no puedan superar el desafío. Mantenga la vida útil del token al mínimo necesario y conserve la cookie solo en el dominio propio.

GDPR consent category

Esencial

Websites using AWS WAF Captcha must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR) for fraud and bot prevention, with documented balancing test; the captcha token cookie can be considered strictly necessary for security

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, EU-US Data Privacy Framework, EDPB Guidelines 5/2020 on consent

DPIA considerations

Una EIPD puede ser útil cuando AWS WAF Captcha se despliega en flujos de consumo donde podría excluir a usuarios legítimos (registro, pago, restablecimiento de contraseña). Documente las señales recopiladas (ratón, acelerómetro, comportamiento), la conservación por AWS, la elección de residencia UE y el mecanismo de reclamación para usuarios que fallan el desafío.

Sample consent text

Utilizamos AWS WAF Captcha para proteger este sitio frente al abuso automatizado. El captcha instala una cookie de token que le reconoce como humano durante unas horas. Es estrictamente necesaria para la seguridad del sitio y por tanto se activa sin consentimiento previo.

Technical details

Tracking methodJavaScript challenge served by AWS WAF on the same origin or a CloudFront distribution, with first party signed cookie and signal collection (mouse, sensors)

Server locationAWS edge locations chosen by the customer, including EU regions; backend correlation in AWS us-east-1

Data transferred outside the EUAWS WAF Captcha is part of AWS WAF. The challenge is served from AWS edge close to the visitor, but Amazon Web Services Inc (US) operates the service and some telemetry is processed in the United States. Transfers rely on the EU-US Data Privacy Framework (AWS is certified) and on Standard Contractual Clauses with a Transfer Impact Assessment.

Third-party domains contacted

*.awswaf.com*.tokens.awswaf.com*.cloudfront.net

Cookies placed

Name	Type	Duration	Purpose
aws-waf-token	http_cookie	Up to 1 day	First party HttpOnly Secure JWT issued after a successful Challenge or Captcha that proves the browser is not automated.
aws-waf-challenge	http_cookie	Session	Short lived state cookie used during the Challenge interstitial to track that the visitor is in the middle of solving a challenge.

AWS WAF Captcha es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies instala AWS WAF Captcha?

La cookie principal es aws-waf-token, una cookie propia HttpOnly Secure que guarda el JWT firmado emitido tras un Challenge o Captcha exitoso. Su duración por defecto es de 5 minutos para Challenge y hasta 1 día para Captcha, configurable.

¿Requiere AWS WAF Captcha consentimiento RGPD?

En general no. La cookie aws-waf-token se instala por seguridad y se considera estrictamente necesaria conforme al artículo 5.3 de la Directiva ePrivacy y a la LSSI. Las señales conductuales se basan en el interés legítimo de combatir fraude y bots. Informe en la política de privacidad en lugar de solicitar consentimiento.

¿Cuál es la base jurídica del tratamiento?

Interés legítimo del artículo 6.1.f del RGPD para combatir fraude y bots, con un test de ponderación documentado. La cookie disfruta de la exención de estrictamente necesarias del artículo 5.3 de la Directiva ePrivacy.

¿Se transfieren datos fuera de la UE?

AWS WAF se ejecuta en edges cercanos al visitante, incluidos los de la UE. AWS Inc es una empresa estadounidense y opera su control plane en EE. UU. AWS está certificada en el Data Privacy Framework UE-EE. UU. y ofrece CCT.

¿Es necesaria una EIPD?

Se recomienda una EIPD en despliegues críticos (flujos financieros, registro, restablecimiento de contraseña) donde un fallo del captcha podría excluir a usuarios vulnerables. Documente las señales recopiladas, el impacto en accesibilidad y la vía de reclamación.

¿Cómo implementar AWS WAF Captcha de forma conforme?

Aplique el captcha solo a reglas dirigidas a tráfico abusivo, no a cada solicitud. Reduzca la vida útil del token, manténgalo en el dominio propio, ofrezca una vía alternativa accesible (revisión manual, correo) para usuarios que no superen el desafío y describa la herramienta en su política.

¿Existen alternativas a AWS WAF Captcha?

Alternativas: Cloudflare Turnstile, hCaptcha, Friendly Captcha (UE), reCAPTCHA Enterprise, MTCaptcha, Arkose Labs y Datadome. Friendly Captcha y algunas otras están pensadas para minimizar el tracking y alojar los datos en la UE.

¿Cómo actualizo mi política de cookies para AWS WAF Captcha?

Añada la cookie aws-waf-token como cookie de seguridad estrictamente necesaria. Indique que AWS WAF Captcha se utiliza contra bots y fraude, mencione AWS como encargado, la base de transferencia mediante el Data Privacy Framework UE-EE. UU. y enlace la política de privacidad de AWS.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note