reCAPTCHA

¿Qué es reCAPTCHA?

reCAPTCHA es un servicio gratuito de Google que protege sitios web contra spam, bots y abuso automatizado mediante desafíos que distinguen entre humanos y máquinas. Originalmente creado en 2007 por Luis von Ahn, Ben Maurer, Colin McMillen y David Abraham en la Universidad Carnegie Mellon, reCAPTCHA fue adquirido por Google en septiembre de 2009. La primera versión pedía a los usuarios transcribir texto distorsionado de libros digitalizados, contribuyendo simultáneamente a la digitalización de textos para Google Books y el archivo del New York Times. reCAPTCHA v2 (2014) introdujo el checkbox "No soy un robot" con análisis de comportamiento. reCAPTCHA v3 (2018) eliminó la interacción visible del usuario, asignando un score de 0.0 a 1.0 basado en señales de comportamiento. reCAPTCHA Enterprise (2020) añadió protección avanzada para empresas con scoring granular, analytics de fraude y protección de cuentas. Google reporta que reCAPTCHA protege más de 5 millones de sitios web globalmente.

Origen y evolución

Von Ahn concibió reCAPTCHA como sistema de "human computation": los CAPTCHAs que los usuarios resolvían digitalizaban palabras que el OCR no podía reconocer. Tras la adquisición por Google, el sistema se integró con la digitalización de Google Street View, donde los usuarios identificaban números de casas y nombres de calles en imágenes borrosas. reCAPTCHA v2 (2014) introdujo el Advanced Risk Analysis Engine que analiza cookies, movimiento del ratón, velocidad de escritura y historial de navegación antes de mostrar un desafío visual. Si el análisis determina que el usuario es humano, basta con hacer clic en el checkbox. reCAPTCHA v3 opera completamente en background sin interacción del usuario, retornando un score que el sitio web interpreta según sus propios umbrales. reCAPTCHA Enterprise, lanzado en 2020, integra Machine Learning de Google Cloud para detectar patrones de fraude sofisticados en login, registro, checkout y formularios.

Versiones y funcionamiento técnico

reCAPTCHA v2 Checkbox presenta el widget "No soy un robot" y escala a desafíos visuales (seleccionar imágenes con semáforos, cruces peatonales, autobuses) cuando el riesgo es alto. reCAPTCHA v2 Invisible ejecuta el análisis sin checkbox visible, activándose automáticamente al enviar formularios. reCAPTCHA v3 retorna un score (0.0 = probablemente bot, 1.0 = probablemente humano) con cada acción del usuario, permitiendo respuestas adaptativas: score alto pasa directamente, score medio requiere verificación adicional, score bajo bloquea. La implementación requiere registrar el dominio en Google reCAPTCHA Admin Console, insertar una clave de sitio en el frontend y verificar el token en el backend via API. reCAPTCHA Enterprise añade labels personalizados, account defender para protección de cuentas, password leak detection y analytics de fraude con dashboards en Google Cloud Console.

Implementación en ecommerce

En ecommerce, reCAPTCHA protege formularios de login contra credential stuffing, registros contra creación masiva de cuentas fake, checkouts contra fraude con tarjetas robadas, y formularios de contacto contra spam. Las plataformas principales incluyen soporte nativo: WooCommerce con plugins como reCaptcha by BestWebSoft o WPForms, Shopify con apps de reCAPTCHA en checkout, Magento con módulo nativo y PrestaShop con módulos community. La integración en checkout es crítica para reducir fraude sin fricción: reCAPTCHA v3 evalúa el riesgo silenciosamente durante todo el flujo de compra, no solo al enviar formularios. Google recomienda implementar reCAPTCHA en múltiples páginas (no solo login) para construir un perfil de comportamiento más preciso del visitante y mejorar la precisión del scoring.

Privacidad y alternativas

reCAPTCHA transmite datos de comportamiento a Google, incluyendo cookies, plugins del navegador y movimientos del ratón, lo que genera preocupaciones de privacidad bajo GDPR y ePrivacy. El Tribunal Regional de Baviera dictaminó en 2023 que reCAPTCHA requiere consentimiento explícito bajo GDPR por transferir datos a servidores de Google en EEUU. Alternativas como hCaptcha ofrecen cumplimiento GDPR nativo, Cloudflare Turnstile es gratuito y privacy-first, y FriendlyCaptcha es una solución europea GDPR-compliant. La adopción de reCAPTCHA sigue siendo dominante por su integración con el ecosistema Google y su eficacia comprobada, pero la tendencia regulatoria europea impulsa la migración hacia alternativas privacy-first para sitios con audiencia EU.

Modelo de precios

reCAPTCHA ofrece un tier gratuito con hasta 1 millón de evaluaciones mensuales que cubre la mayoría de sitios web pequeños y medianos. reCAPTCHA Enterprise se factura por evaluaciones: las primeras 1-100.000 evaluaciones cuestan 1 USD por cada 1.000, de 100.001 a 1.000.000 cuestan 0,50 USD por cada 1.000, y más de 1 millón cuestan 0,25 USD por cada 1.000. Enterprise incluye analytics avanzados, account defender, password leak detection, labels personalizados y soporte de Google Cloud. No hay costes de instalación ni compromisos anuales. El modelo de pricing por uso hace que reCAPTCHA sea accesible para cualquier tamaño de sitio, desde blogs personales hasta marketplaces con millones de transacciones mensuales.

Características Principales

• reCAPTCHA v2 Checkbox: widget «No soy un robot» con escalado a desafíos visuales basado en análisis de riesgo del usuario
• reCAPTCHA v3: scoring invisible 0.0-1.0 sin interacción del usuario; análisis de comportamiento en background en cada acción
• Enterprise: account defender para protección de cuentas, password leak detection, analytics de fraude y dashboards en Google Cloud
• Admin Console: estadísticas de tráfico, distribución de scores, detección de anomalías y gestión de dominios registrados
• API de verificación backend: validación server-side del token con score, hostname, acción y timestamp para cada evaluación
• Implementación multi-página: evaluación continua del comportamiento del visitante en todo el site para perfiles más precisos

Se integra con 13 herramientas