reCAPTCHA

El contexto: por qué el spam sigue siendo un problema en ecommerce

Los bots automatizados generan entre el 25% y el 42% de todo el tráfico de internet según datos de Imperva (Bad Bot Report 2024). En ecommerce, los vectores de ataque son concretos: credential stuffing en formularios de login, scraping de precios, spam en formularios de contacto y reseñas, y registro masivo de cuentas falsas para abusar de promociones. reCAPTCHA es la respuesta de Google a este problema, y con más de 5 millones de sitios activos, es el sistema antispam más desplegado del mundo.

Las tres versiones: cuál usar y cuándo

reCAPTCHA v2 Checkbox es el clásico "No soy un robot". Visible, interrumpe el flujo del usuario, pero es familiar y genera confianza explícita. Útil en formularios de bajo tráfico donde la fricción es aceptable. La variante "Invisible" de v2 analiza el comportamiento sin mostrar el widget hasta que hay dudas, mostrando el reto de imagen solo cuando el análisis de riesgo lo requiere.

reCAPTCHA v3 es invisible por diseño: devuelve un score de 0.0 (bot) a 1.0 (humano) basado en análisis de comportamiento en el sitio. Sin interrupciones para el usuario, pero requiere que el sitio decida qué hacer con el score: bloquear, requerir verificación adicional, o loggear para análisis. Es la versión recomendada para checkout, login y formularios de alta conversión donde la fricción tiene coste directo.

reCAPTCHA Enterprise es la versión de pago con funcionalidades adicionales: scoring más granular, datos de detección de amenazas por tipo (credential stuffing, scraping, etc.), integración con Cloud Armor para bloqueo a nivel de red, soporte para aplicaciones móviles nativas (iOS/Android SDK), y acceso a la API de anotaciones para entrenar el modelo con datos propios. El precio es $1 por cada 1.000 evaluaciones adicionales superado el umbral gratuito de 10.000/mes.

Integración técnica: lo que implica en la práctica

Para v3, la implementación básica requiere cargar el script de Google, ejecutar grecaptcha.execute() en el evento del formulario, enviar el token resultante al servidor, y verificar el token contra la API de Google (POST a https://www.google.com/recaptcha/api/siteverify) antes de procesar el formulario. El servidor recibe el score y decide. Todo esto añade una latencia de 100-300ms en el proceso de validación del formulario, asumible en la mayoría de casos.

Para WordPress, los plugins de integración más maduros son Advanced noCaptcha & invisible Captcha (gratuito, soporta v2 y v3), Akismet Anti-Spam (diferente tecnología pero mismo objetivo en comentarios), y WPForms/Gravity Forms que incluyen integración nativa. WooCommerce no incluye reCAPTCHA de fábrica, pero los plugins de seguridad como Wordfence o plugins específicos como WooCommerce reCaptcha lo añaden en login, registro y checkout.

El problema de privacidad: argumento técnico y legal

reCAPTCHA recopila datos de comportamiento del usuario: movimientos de ratón, historial de navegación en Google, cookies, plugins del navegador, tiempo de interacción. Esta información se envía a Google y se usa para entrenar los modelos. En el contexto del RGPD europeo, esto es relevante: reCAPTCHA como servicio de terceros que transmite datos a Google (empresa estadounidense) activa las obligaciones de base legal, consentimiento informado y transferencia internacional de datos.

La alternativa que evita estas fricciones legales es hCaptcha (ofrece compensación económica a sitios por procesar los retos), Cloudflare Turnstile (gratuito, sin tracking cross-site, fácil integración), o soluciones de honeypot puras (campos ocultos que los bots rellenan y los humanos no). Cloudflare Turnstile en particular ha ganado tracción significativa desde 2023 como alternativa drop-in con mejor posición de privacidad.

Rendimiento: el impacto real en Core Web Vitals

El script de reCAPTCHA v3 (https://www.google.com/recaptcha/api.js) pesa aproximadamente 80 KB y bloquea el renderizado si se carga en el <head>. La práctica recomendada es cargarlo de forma diferida y solo en las páginas que contienen formularios, no globalmente. En WordPress, muchos plugins lo cargan en todas las páginas por defecto, lo que penaliza LCP y FID en páginas donde reCAPTCHA no es necesario.

¿Qué es reCAPTCHA?

reCAPTCHA es un servicio gratuito de Google que protege sitios web contra spam, bots y abuso automatizado mediante desafíos que distinguen entre humanos y máquinas. Originalmente creado en 2007 por Luis von Ahn, Ben Maurer, Colin McMillen y David Abraham en la Universidad Carnegie Mellon, reCAPTCHA fue adquirido por Google en septiembre de 2009. La primera versión pedía a los usuarios transcribir texto distorsionado de libros digitalizados, contribuyendo simultáneamente a la digitalización de textos para Google Books y el archivo del New York Times. reCAPTCHA v2 (2014) introdujo el checkbox "No soy un robot" con análisis de comportamiento. reCAPTCHA v3 (2018) eliminó la interacción visible del usuario, asignando un score de 0.0 a 1.0 basado en señales de comportamiento. reCAPTCHA Enterprise (2020) añadió protección avanzada para empresas con scoring granular, analytics de fraude y protección de cuentas. Google reporta que reCAPTCHA protege más de 5 millones de sitios web globalmente.

Origen y evolución

Von Ahn concibió reCAPTCHA como sistema de "human computation": los CAPTCHAs que los usuarios resolvían digitalizaban palabras que el OCR no podía reconocer. Tras la adquisición por Google, el sistema se integró con la digitalización de Google Street View, donde los usuarios identificaban números de casas y nombres de calles en imágenes borrosas. reCAPTCHA v2 (2014) introdujo el Advanced Risk Analysis Engine que analiza cookies, movimiento del ratón, velocidad de escritura y historial de navegación antes de mostrar un desafío visual. Si el análisis determina que el usuario es humano, basta con hacer clic en el checkbox. reCAPTCHA v3 opera completamente en background sin interacción del usuario, retornando un score que el sitio web interpreta según sus propios umbrales. reCAPTCHA Enterprise, lanzado en 2020, integra Machine Learning de Google Cloud para detectar patrones de fraude sofisticados en login, registro, checkout y formularios.

Versiones y funcionamiento técnico

reCAPTCHA v2 Checkbox presenta el widget "No soy un robot" y escala a desafíos visuales (seleccionar imágenes con semáforos, cruces peatonales, autobuses) cuando el riesgo es alto. reCAPTCHA v2 Invisible ejecuta el análisis sin checkbox visible, activándose automáticamente al enviar formularios. reCAPTCHA v3 retorna un score (0.0 = probablemente bot, 1.0 = probablemente humano) con cada acción del usuario, permitiendo respuestas adaptativas: score alto pasa directamente, score medio requiere verificación adicional, score bajo bloquea. La implementación requiere registrar el dominio en Google reCAPTCHA Admin Console, insertar una clave de sitio en el frontend y verificar el token en el backend via API. reCAPTCHA Enterprise añade labels personalizados, account defender para protección de cuentas, password leak detection y analytics de fraude con dashboards en Google Cloud Console.

Implementación en ecommerce

En ecommerce, reCAPTCHA protege formularios de login contra credential stuffing, registros contra creación masiva de cuentas fake, checkouts contra fraude con tarjetas robadas, y formularios de contacto contra spam. Las plataformas principales incluyen soporte nativo: WooCommerce con plugins como reCaptcha by BestWebSoft o WPForms, Shopify con apps de reCAPTCHA en checkout, Magento con módulo nativo y PrestaShop con módulos community. La integración en checkout es crítica para reducir fraude sin fricción: reCAPTCHA v3 evalúa el riesgo silenciosamente durante todo el flujo de compra, no solo al enviar formularios. Google recomienda implementar reCAPTCHA en múltiples páginas (no solo login) para construir un perfil de comportamiento más preciso del visitante y mejorar la precisión del scoring.

Privacidad y alternativas

reCAPTCHA transmite datos de comportamiento a Google, incluyendo cookies, plugins del navegador y movimientos del ratón, lo que genera preocupaciones de privacidad bajo GDPR y ePrivacy. El Tribunal Regional de Baviera dictaminó en 2023 que reCAPTCHA requiere consentimiento explícito bajo GDPR por transferir datos a servidores de Google en EEUU. Alternativas como hCaptcha ofrecen cumplimiento GDPR nativo, Cloudflare Turnstile es gratuito y privacy-first, y FriendlyCaptcha es una solución europea GDPR-compliant. La adopción de reCAPTCHA sigue siendo dominante por su integración con el ecosistema Google y su eficacia comprobada, pero la tendencia regulatoria europea impulsa la migración hacia alternativas privacy-first para sitios con audiencia EU.

Modelo de precios

reCAPTCHA ofrece un tier gratuito con hasta 1 millón de evaluaciones mensuales que cubre la mayoría de sitios web pequeños y medianos. reCAPTCHA Enterprise se factura por evaluaciones: las primeras 1-100.000 evaluaciones cuestan 1 USD por cada 1.000, de 100.001 a 1.000.000 cuestan 0,50 USD por cada 1.000, y más de 1 millón cuestan 0,25 USD por cada 1.000. Enterprise incluye analytics avanzados, account defender, password leak detection, labels personalizados y soporte de Google Cloud. No hay costes de instalación ni compromisos anuales. El modelo de pricing por uso hace que reCAPTCHA sea accesible para cualquier tamaño de sitio, desde blogs personales hasta marketplaces con millones de transacciones mensuales.

Características Principales

• reCAPTCHA v2 Checkbox: widget «No soy un robot» con escalado a desafíos visuales basado en análisis de riesgo del usuario
• reCAPTCHA v3: scoring invisible 0.0-1.0 sin interacción del usuario; análisis de comportamiento en background en cada acción
• Enterprise: account defender para protección de cuentas, password leak detection, analytics de fraude y dashboards en Google Cloud
• Admin Console: estadísticas de tráfico, distribución de scores, detección de anomalías y gestión de dominios registrados
• API de verificación backend: validación server-side del token con score, hostname, acción y timestamp para cada evaluación
• Implementación multi-página: evaluación continua del comportamiento del visitante en todo el site para perfiles más precisos

Se integra con 13 herramientas